Los ataques a los dispositivos Citrix se han intensificado esta semana, y varios actores de amenazas ahora se han unido y están lanzando ataques con la esperanza de comprometer un objetivo de alto valor, como una red corporativa, un servidor gubernamental o una institución pública.
En un informe publicado hoy, FireEye dice que entre todo el ruido de ataque que ha estado vigilando durante la semana pasada, vio a un atacante que sobresalía como un pulgar dolorido.
Este actor de amenazas en distinct estaba atacando servidores Citrix desde detrás de un nodo Tor, e implementando una nueva carga útil que el equipo de FireEye llamó NotRobin.
FireEye dice que NotRobin tenía un doble propósito. Primero, sirvió como puerta trasera en el dispositivo Citrix violado. En segundo lugar, funcionó de manera related a un antivirus al eliminar otro malware encontrado en el dispositivo y evitar que otros atacantes dejaran caer nuevas cargas útiles en el host susceptible de Citrix.
No está claro si el atacante NotRobin es un buen tipo o un mal tipo, ya que no se implementó malware adicional en los sistemas Citrix comprometidos más allá de la carga útil de NotRobin.
Sin embargo, los expertos de FireEye se están inclinando hacia la clasificación de los malos. En su informe, dicen que creen que este actor puede estar «recogiendo silenciosamente el acceso a los dispositivos NetScaler para una campaña posterior».
El mistake de Citrix y el fiasco de parches
Todos los ataques recientes contra servidores Citrix están explotando CVE-2019-19781, una vulnerabilidad en Citrix Software Shipping Controller (ADC), anteriormente conocido como NetScaler ADC, y Citrix Gateway, anteriormente conocido como NetScaler Gateway.
La vulnerabilidad CVE-2019-19781 es uno de los defectos de seguridad más atacados de la actualidad, por tres razones.
Primero, los dispositivos Citrix ADC y Citrix Gateway son muy populares en el sector empresarial y brindan a los atacantes una superficie de ataque gigante ir después. En segundo lugar, la vulnerabilidad es fácil de explotar y requiere muy pocas habilidades técnicas. En tercer lugar, el código de explotación de prueba de concepto fue publicado durante el último fin de semana, lo que ha bajado la barra de entrada para más grupos de piratas informáticos.
Desde el fin de semana, los escaneos en busca de dispositivos Citrix vulnerables, junto con los intentos de explotación activa, se han ido por las nubes.
Gobierno holandés: apague los sistemas Citrix hasta que esté listo un parche
Por su parte, Citrix dejó caer la pelota a lo grande cuando se trataba de manejar esta falla de seguridad.
El año pasado se notificó a la compañía sobre el problema, pero en diciembre, cuando Good Systems reveló detalles sobre el mistake en su web site, Citrix fue atrapado con los pantalones caídos, sin un parche listo para sus clientes.
En cambio, Citrix publicó consejos de mitigación de que los propietarios de dispositivos Citrix podrían aplicar y proteger sus servidores. Desafortunadamente, este consejo de mitigación no funcionó según lo previsto para todas las versiones de Citrix, algunas de las cuales seguían siendo vulnerables a los ataques.
Ayer, la agencia nacional de seguridad cibernética holandesa (NCSC) comenzó a asesorar a las empresas y agencias gubernamentales que ejecutan servidores Citrix ADC o NetScaler Gateway para apague los sistemas hasta que esté listo un parche oficial, citando la «incertidumbre sobre la efectividad de las medidas de mitigación».
El NCSC holandés puede ser un poco smart en el tema de Citrix ya que ha habido al menos dos incidentes de seguridad importantes en el país causados por sistemas Citrix pirateados, uno en el healthcare facility Ziekenhuis Leeuwardeny otro en la red de la ciudad de Zutphen. En ambos casos, las víctimas tuvieron que cerrar toda su purple durante días para lidiar con la intrusión.
Cuando ZDNet contactó a Citrix para comentar ayer sobre la recomendación de NCSC, Citrix mantuvo sus mitigaciones.
«Las mitigaciones que publicamos cubren todas las versiones compatibles de nuestro software package y contienen pasos detallados diseñados para detener un posible ataque en todos los escenarios conocidos. Pero todos los pasos deben seguirse», dijo Fermin Serna, Director de Seguridad de la Información de Citrix, a ZDNet.
«Continuamos recomendando que nuestros clientes apliquen la mitigación de inmediato, y las soluciones permanentes cuando estén disponibles».
Se espera que Citrix publique parches para la vulnerabilidad CVE-2019-19781 a finales de este mes. Mientras tanto, los propietarios de dispositivos Citrix pueden solicitar mitigaciones temporales de Citrix o seguir el consejo de NCSC y apagar los dispositivos hasta que esté lista una solución permanente.
