Citrix lanza parches para la vulnerabilidad crítica de ADC bajo ataque activo

Citrix finalmente comenzó a implementar parches de seguridad para una vulnerabilidad crítica en el software ADC y Gateway que los atacantes comenzaron a explotar en la naturaleza a principios de este mes después de que la compañía anunció la existencia del problema sin lanzar ninguna solución permanente.

Desearía poder decir, "más vale tarde que nunca", pero como los piratas informáticos no pierden el tiempo ni pierden ninguna oportunidad de explotar sistemas vulnerables, incluso un corto período de tiempo resultó en el compromiso de cientos de sistemas Citrix ADC y Gateway expuestos a Internet. .

Como se explicó anteriormente en The Hacker News, la vulnerabilidad, registrada como CVE-2019-19781, es un problema de recorrido de ruta que podría permitir a atacantes remotos no autenticados ejecutar código arbitrario en varias versiones de Citrix ADC y productos Gateway, así como en las dos versiones anteriores de Citrix SD-WAN WANOP.

Calificado como crítico con el puntaje básico de CVSS v3.1 9.8, el problema fue descubierto por Mikhail Klyuchnikov, un investigador de seguridad de Positive Technologies, quien lo informó de manera responsable a Citrix a principios de diciembre.

La vulnerabilidad está siendo explotada activamente en la naturaleza desde la semana pasada por docenas de grupos de hackers y atacantes individuales, gracias al lanzamiento público de múltiples códigos de explotación de pruebas de concepto .

Según los expertos en seguridad cibernética , a partir de hoy, hay más de 15,000 servidores vulnerables Citrix ADC y Gateway accesibles al público que los atacantes pueden explotar de la noche a la mañana para apuntar a posibles redes empresariales.

Los expertos de FireEye encontraron una campaña de ataque en la que alguien comprometía los ADC Citrix vulnerables para instalar una carga útil nunca antes vista, denominada " NotRobin ", que escanea los sistemas en busca de criptomineros y malware desplegados por otros atacantes potenciales y los elimina para mantener el acceso exclusivo de puerta trasera.

". Este actor explota los dispositivos NetScaler utilizando CVE-2019-19781 para ejecutar comandos de shell en el dispositivo comprometido ", dijo FireEye.

"FireEye cree que el actor detrás de NOTROBIN ha estado comprometiendo de manera oportunista los dispositivos NetScaler, posiblemente para prepararse para una próxima campaña. Quitan otro malware conocido, potencialmente para evitar ser detectados por los administradores".

Citrix Patch Timeline: ¡Estén atentos para más actualizaciones de software!


La semana pasada, Citrix anunció una línea de tiempo , prometiendo lanzar actualizaciones de firmware parcheadas para todas las versiones compatibles del software ADC y Gateway antes de finales de enero de 2020, como se muestra en el cuadro.



Como parte de su primer lote de actualizaciones , Citrix lanzó hoy parches permanentes para ADC versiones 11.1 y 12.0 que también se aplican a "ADC y Gateway VPX alojados en ESX, Hyper-V, KVM, XenServer, Azure, AWS, GCP o en un Citrix ADC Service Delivery Appliance (SDX) ".

"Es necesario actualizar todas las instancias Citrix ADC y Citrix Gateway 11.1 (MPX o VPX) para construir 11.1.63.15 para instalar las correcciones de vulnerabilidad de seguridad. Es necesario actualizar todas las instancias Citrix ADC y Citrix Gateway 12.0 (MPX o VPX) a compilar 12.0.63.13 para instalar las correcciones de vulnerabilidad de seguridad ", dijo Citrix en su aviso.

"Instamos a los clientes a instalar estas soluciones de inmediato", dijo la compañía. "Si aún no lo ha hecho, debe aplicar la mitigación suministrada anteriormente a las versiones ADC 12.1, 13, 10.5 y SD-WAN WANOP versiones 10.2.6 y 11.0.3 hasta que las soluciones para esas versiones estén disponibles".

La compañía también advirtió que los clientes con múltiples versiones de ADC en producción deben aplicar la versión correcta del parche a cada sistema por separado.

Además de instalar parches disponibles para versiones compatibles y aplicar la mitigación recomendada para sistemas sin parches, también se recomienda a los administradores de Citrix ADC que supervisen los registros de sus dispositivos para detectar ataques.

Vía: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta