Miles de instancias de Citrix NetScaler ADC y Gateway siguen sin parches contra una vulnerabilidad crítica que está siendo ampliamente explotada, advierten investigadores de seguridad.
El fallo, que se explotaba como día cero desde agosto, se conoce como CVE-2023-4966 (puntuación CVSS de 9,4) y que ahora se denomina «Citrix Bleed», permite a los atacantes no autenticados filtrar información confidencial de dispositivos locales configurados como servidor virtual AAA o pasarela. Citrix publicó parches para el fallo el 10 de octubre y advirtió que las amenazas están explotando activamente la vulnerabilidad para secuestrar tokens de sesiones, lo que les permite eludir completamente la autenticación, incluidas las protecciones de autenticación multifactor.
Características técnicas
La explotación masiva en curso comenzó más o menos al mismo tiempo que Assetnote publicó un informe técnico de la vulnerabilidad y una prueba de concepto (PoC) para explotarla. Sin embargo, según el investigador de seguridad Kevin Beaumont, la explotación masiva no se ha desencadenado necesariamente por la publicación de la prueba de concepto, ya que «estaba claro que varios grupos ya habían obtenido los detalles técnicos».
Al explotar la vulnerabilidad, los atacantes obtienen acceso a la memoria de los dispositivos NetScaler ADC y Gateway, lo que les permite extraer las cookies de sesión e intentar saltarse la autenticación. Esto significa que incluso las instancias parcheadas están en riesgo de explotación, ya que los testigos de sesión persisten en la memoria.
Durante el fin de semana, Beaumont advirtió de que los atacantes habían robado los tokens de sesión de más de 20.000 servidores NetScaler explotados. Desde el 1 de noviembre, los datos de Greynoise muestran 158 direcciones IP únicas utilizadas para atacar instancias vulnerables en los últimos 10 días.
Ataques Lockbit de gran repercusión
El investigador de amenazas Kevin Beaumont ha estado rastreando ataques contra varias empresas, entre ellas el Banco Industrial y Comercial de China (ICBC), DP World, Allen & Overy y Boeing, y descubrió que tenían algo en común.
Se trata de servidores Citrix expuestos vulnerables al fallo Citrix Bleed, que, según él, están siendo explotados por la banda de ransomware LockBit.
En los últimos días, los investigadores de seguridad han comenzado a dar la voz de alarma sobre la explotación generalizada de CVE-2023-4966, con múltiples actores de amenazas, incluidos grupos de ransomware, dirigidos a instancias de NetScaler ADC y Gateway accesibles desde Internet.
Esto fue confirmado por el Wall Street Journal, que obtuvo un reporte en el que se menciona que LockBit era responsable del ciberataque a ICBC, que se logró mediante la explotación de la falla Citrix Bleed. Es probable que estos ataques los esté llevando a cabo un afiliado de LockBit que está utilizando en gran medida esta vulnerabilidad para penetrar en las redes, en lugar de ser la propia operación de ransomware la que está detrás del ataque.
Una superficie de ataque masiva
Actualmente más de 10.400 servidores Citrix son vulnerables a CVE-2023-4966, según los resultados del investigador de amenazas japonés Yutaka Sejiyama compartidos con la entidad BleepingComputer:
La mayoría de los servidores, 3.133, se encuentran en Estados Unidos, seguidos de 1.228 en Alemania, 733 en China, 558 en el Reino Unido, 381 en Australia, 309 en Canadá, 301 en Francia, 277 en Italia, 252 en España, 244 en los Países Bajos y 215 en Suiza.
Los escaneos han revelado servidores vulnerables en organizaciones grandes y críticas de muchos otros países, todos los cuales siguen sin parchear más de un mes entero después de la divulgación pública del fallo crítico.
Si su organización utiliza aplicaciones Citrix NetScaler ADC o NetScaler Gateway, le sugerimos que haga lo siguiente para proteger sus equipos de esta vulnerabilidad:
- Asegúrese de que sus dispositivos NetScaler ADC y Gateway ejecutan las últimas versiones de firmware. Estas actualizaciones incluyen parches que mitigan la vulnerabilidad.
- Después de actualizar, conéctese al dispositivo NetScaler mediante la interfaz de línea de comandos (CLI) y finalice las sesiones activas y persistentes, ya que las sesiones comprometidas pueden persistir incluso después de aplicar el parche.
- Es aconsejable rotar las credenciales de las identidades que accedieron a los recursos a través de los servidores e instancias vulnerables.
- Compruebe con frecuencia las actualizaciones de Citrix y otras organizaciones de seguridad para esta vulnerabilidad y otras estrategias de mitigación y prevención.
- Desarrolle un plan de gestión de parches para garantizar que sus dispositivos estén siempre parcheados con las últimas actualizaciones de seguridad y realice periódicamente simulacros de aplicación de parches para disponer de una infraestructura segura.
La firma de ciberseguridad Mandiant mencionó que actualmente está rastreando cuatro actores de amenazas dirigidas activamente a CVE-2023-4966, comprometiendo servidores NetScaler, y la realización de diversas actividades posteriores a la explotación.
Las amenazas han desplegado varias herramientas de reconocimiento y robo de credenciales, herramientas de monitorización y gestión remota (RMM) para el acceso persistente, un backdoor llamado FreeFire, binarios «living-off-the-land» y utilidades para el movimiento lateral, dijo Mandiant.
Según Mandiant, dado que NetScaler no registra las solicitudes asociadas al fallo, las organizaciones pueden buscar intentos de explotación utilizando «cortafuegos de aplicaciones web (WAF) u otros dispositivos de red que registren las solicitudes HTTP/S dirigidas a los dispositivos NetScaler ADC o Gateway».
La empresa de ciberseguridad ha publicado instrucciones completas sobre cómo las organizaciones pueden identificar pruebas de secuestro de sesión, junto con indicadores de compromiso (IoC) para ayudar a los cazadores.
Acciones recomendadas
Si su organización utiliza aplicaciones Citrix NetScaler ADC o NetScaler Gateway, le sugerimos que haga lo siguiente para proteger sus equipos de esta vulnerabilidad:
- Asegúrese de que sus dispositivos NetScaler ADC y Gateway ejecutan las últimas versiones de firmware. Estas actualizaciones incluyen parches que mitigan la vulnerabilidad.
- Después de actualizar, conéctese al dispositivo NetScaler mediante la interfaz de línea de comandos (CLI) y finalice las sesiones activas y persistentes, ya que las sesiones comprometidas pueden persistir incluso después de aplicar el parche.
- Es aconsejable rotar las credenciales de las identidades que accedieron a los recursos a través de los servidores e instancias vulnerables.
- Compruebe con frecuencia las actualizaciones de Citrix y otras organizaciones de seguridad para esta vulnerabilidad y otras estrategias de mitigación y prevención.
- Desarrolle un plan de gestión de parches para garantizar que sus dispositivos estén siempre parcheados con las últimas actualizaciones de seguridad y realice periódicamente simulacros de aplicación de parches para disponer de una infraestructura segura.
La firma de ciberseguridad Mandiant mencionó que actualmente está rastreando cuatro actores de amenazas dirigidas activamente a CVE-2023-4966, comprometiendo servidores NetScaler, y la realización de diversas actividades posteriores a la explotación.
Las amenazas han desplegado varias herramientas de reconocimiento y robo de credenciales, herramientas de monitorización y gestión remota (RMM) para el acceso persistente, un backdoor llamado FreeFire, binarios «living-off-the-land» y utilidades para el movimiento lateral, dijo Mandiant.
Según Mandiant, dado que NetScaler no registra las solicitudes asociadas al fallo, las organizaciones pueden buscar intentos de explotación utilizando «cortafuegos de aplicaciones web (WAF) u otros dispositivos de red que registren las solicitudes HTTP/S dirigidas a los dispositivos NetScaler ADC o Gateway».
La empresa de ciberseguridad ha publicado instrucciones completas sobre cómo las organizaciones pueden identificar pruebas de secuestro de sesión, junto con indicadores de compromiso (IoC) para ayudar a los cazadores.
Referencia:
https://cybernews.com/security/lockbit-ransom-citrix-mass-exploit/
