Los hackers estuvieron dentro de Citrix durante cinco meses – Krebs on Stability


Gigante de software program de redes Sistemas Citrix dice que los piratas informáticos maliciosos estuvieron dentro de sus redes durante cinco meses entre 2018 y 2019, llevándose datos personales y financieros de los empleados de la compañía, contratistas, pasantes, candidatos y sus dependientes. La divulgación se produce casi un año después de que Citrix reconoció que los intrusos digitales habían entrado al sondear las cuentas de sus empleados en busca de contraseñas débiles.

Citrix proporciona computer software utilizado por cientos de miles de clientes en todo el mundo, incluida la mayoría de las compañías Fortune 100. Quizás sea mejor conocido por vender software de redes privadas virtuales (VPN) que permite a los usuarios acceder de forma remota a redes y computadoras a través de una conexión encriptada.

En marzo de 2019, el Oficina Federal de Investigaciones (FBI) alertó a Citrix de que tenían razones para creer que los ciberdelincuentes habían obtenido acceso a la purple interna de la compañía. El FBI le dijo a Citrix que los hackers probablemente usaron una técnica llamada «pulverización de contraseñas«, Un ataque relativamente crudo pero notablemente efectivo que intenta acceder a una gran cantidad de cuentas de empleados (nombres de usuario / direcciones de correo electrónico) utilizando solo un puñado de contraseñas comunes.

En una declaración lanzado en ese momento, Citrix dijo que parecía que los piratas informáticos «pueden haber accedido y descargado documentos comerciales», y que todavía estaba trabajando para identificar a qué se accedió o se robó con precisión.

Pero en una carta enviada a las personas afectadas con fecha del 10 de febrero de 2020, Citrix reveló detalles adicionales sobre el incidente. Según la carta, los atacantes «tuvieron acceso intermitente» a la crimson interna de Citrix entre el 13 de octubre de 2018 y el 8 de marzo de 2019, y que no había evidencia de que los ciberdelincuentes aún permanezcan en los sistemas de la compañía.

Citrix dijo que la información tomada por los intrusos puede haber incluido números de seguro social u otros números de identificación fiscal, números de licencia de conducir, números de pasaporte, números de cuentas financieras, números de tarjetas de pago y / o información limitada de reclamos de salud, como el número de identificación del participante del seguro de salud y / o información de reclamos relacionada con la fecha del servicio y el nombre del proveedor.

No está claro cuántas personas recibieron esta carta, pero la comunicación sugiere que Citrix se está contactando con una amplia gama de personas que trabajan o trabajaron para la empresa en algún momento, así como con aquellos que solicitaron trabajo o pasantías allí y personas que pudieron haber recibido salud u otros beneficios de la empresa en virtud de tener un acquainted empleado por la empresa.

La carta de Citrix fue impulsada por leyes en prácticamente todos los estados de EE. UU. Que requieren que las compañías notifiquen a los consumidores afectados sobre cualquier incidente que ponga en peligro sus datos personales y financieros. Si bien la notificación no especifica si los atacantes robaron datos patentados sobre el application y las operaciones internas de la compañía, los intrusos ciertamente también tuvieron una amplia oportunidad de acceder al menos a parte de esa información.

Poco después de que Citrix revelara inicialmente la intrusión en marzo de 2019, una compañía de seguridad poco conocida Reseguridad reclamado tenía pruebas de que los piratas informáticos iraníes eran responsables, habían estado en la crimson de Citrix durante años y habían descargado terabytes de datos. La seguridad también presentó evidencia de que notificó a Citrix sobre la violación tan pronto como el 28 de diciembre de 2018, un reclamo que Citrix negó inicialmente pero luego reconoció.

Los piratas informáticos iraníes han sido recientemente acusados ​​de piratear servidores VPN en todo el mundo en un intento por plantar puertas traseras en grandes redes corporativas. UN informe publicado esta semana (PDF) por la empresa de seguridad Cielo limpio detalla cómo las unidades de piratería respaldadas por el gobierno de Irán han estado ocupadas explotando agujeros de seguridad en productos VPN populares de Citrix y varias otras empresas de software.

ClearSky dice que los atacantes se han centrado en atacar las herramientas de VPN porque proporcionan un punto de apoyo duradero en las organizaciones seleccionadas y con frecuencia abren la puerta a la violación de compañías adicionales a través de ataques de la cadena de suministro. La compañía dice que tales tácticas han permitido a los piratas informáticos iraníes obtener acceso persistente a las redes de compañías en una amplia gama de sectores, incluidos TI, seguridad, telecomunicaciones, petróleo y gas, aviación y gobierno.

Entre los defectos de VPN disponibles para los atacantes se encuentra una vulnerabilidad recientemente revisada (CVE-2019-19781) en servidores VPN Citrix denominados «Shitrix» por algunos en la comunidad de seguridad. El apodo burlón puede haber sido elegido porque mientras Citrix inicialmente advirtió a los clientes sobre la vulnerabilidad a mediados de diciembre de 2019, no comenzó a lanzar parches para tapar los agujeros hasta finales de enero de 2020, aproximadamente dos semanas después de que los atacantes comenzaron a usar código de explotación publicado para entrar en organizaciones vulnerables.

¿Cómo resistiría su organización a un ataque de rociado de contraseña? Como muestra el truco de Citrix, si no sabe, probablemente debería verificar y luego actuar según los resultados en consecuencia. Es una apuesta justa que los malos van a descubrir incluso si usted no lo hace.


Etiquetas: Citrix Methods, CVE-2019-19781, fbi, Shitrix

Esta entrada fue publicada el miércoles 19 de febrero de 2020 a las 10:55 am y está archivada en A Very little Sunshine, Details Breaches.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puedes saltar hasta el last y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia authentic