Igor Golovniov/SOPA Images/LightRocket vía Getty Images
El 19 de enero, Citrix lanzó algunas correcciones permanentes a una vulnerabilidad en los servidores de red privada virtual Citrix Application Delivery Controller (ADC) y Citrix Gateway de la empresa que permitían a un atacante ejecutar código de forma remota en la puerta de enlace sin necesidad de iniciar sesión. La vulnerabilidad afecta a decenas de miles de servidores VPN conocidos, incluidos al menos 260 servidores VPN asociados con agencias gubernamentales federales, estatales y locales de EE. UU., incluido al menos un sitio operado por el Ejército de EE. UU.
Los parches son para las versiones 11.1 y 12.0 de los productos, anteriormente comercializados con el nombre de NetScaler. Otros parches estarán disponibles el 24 de enero. Estos parches siguen las instrucciones de los arreglos temporales que proporcionó la empresa para desviar las solicitudes diseñadas asociadas con la vulnerabilidad, que un atacante podría utilizar para obtener acceso a las redes protegidas por las VPN.
Fermin J. Serna, director de seguridad de la información de Citrix, anunció las correcciones en una publicación de blog el domingo. Al mismo tiempo, Serna reveló que la vulnerabilidad, y los parches que se lanzaron, también se aplicaron a Citrix ADC y Citrix Gateway Virtual Appliances alojados en máquinas virtuales en todas las plataformas de virtualización disponibles comercialmente, así como aquellas alojadas en Azure, Amazon Web Services, Google Compute Platform y Citrix Service Delivery Appliances (SDX).
mucho para parchear
Eso representa mucho trabajo durante las próximas semanas para los clientes de Citrix, que incluyen miles de agencias gubernamentales, instituciones educativas, hospitales y grandes corporaciones en todo el mundo.
Hasta la semana pasada, según los datos proporcionados por Bad Packets a Ars Technica, más de 26 000 servidores seguían siendo vulnerables a la solicitud elaborada. Los datos, incluida la información sobre puertas de enlace VPN gubernamentales potencialmente vulnerables, fueron compartidos por Bad Packets con la Agencia de Seguridad de Infraestructura y Ciberseguridad. Incluían una puerta de enlace asociada con un sistema de personal civil del Departamento de Defensa, el servicio del censo de EE. UU. y varias agencias locales encargadas de hacer cumplir la ley.
Inevitablemente, cientos de servidores Citrix VPN seguirán siendo vulnerables durante semanas o meses. Algunos ya están siendo atacados, según los informes de FireEye, con un atacante instalando la configuración de mitigación para mantener alejados a otros atacantes y arrancando cualquier otro malware instalado antes de configurar su propia puerta trasera.
Muchos de los exploits hasta ahora han instalado malware de bajo impacto, incluido el software de minería de criptomonedas. Pero según lo que sucedió con la vulnerabilidad Pulse Secure del año pasado, los operadores de ransomware y otros ciberdelincuentes pronto se unirán a la caza.
Mientras tanto, un miembro del grupo que opera la campaña de ransomware REvil reconoció recientemente que el grupo había atacado a Travelex utilizando la vulnerabilidad Pulse Secure, según el investigador de seguridad Vitali Kremez. UNKN, el administrador del malware REvil, reivindicó el ataque de Travelex en una publicación del foro el 7 de enero y dijo que los ejecutivos de Travelex tenían que darse prisa y pagar, o las fechas de nacimiento de los clientes, los números de seguridad social y los datos de las tarjetas de crédito «serían ser vendido a alguien».
