Hackers explotan vulnerabilidad en productos Citrix, amenazando a miles de empresas y organizaciones críticas

Miles de empresas podrían estar en riesgo debido a una vulnerabilidad de día cero explotada activamente en Citrix

Una vulnerabilidad de día cero en los dispositivos NetScaler ADC y NetScaler Gateway de Citrix ha sido explotada por hackers, poniendo en riesgo a miles de empresas, incluyendo organizaciones de infraestructuras críticas en Estados Unidos.

Citrix, la compañía responsable de estos productos utilizados ampliamente en todo el mundo, emitió una alerta la semana pasada sobre esta vulnerabilidad de severidad crítica, identificada como CVE-2023-3519, que tiene una calificación de 9.8 sobre 10. Esta vulnerabilidad permite a un atacante remoto y no autenticado ejecutar código arbitrario en un dispositivo. Citrix también advirtió que tiene evidencia de que la vulnerabilidad ha sido explotada en la vida real.

Para abordar esta amenaza, Citrix lanzó actualizaciones de seguridad el 18 de julio y está instando a sus clientes a instalar los parches lo antes posible para proteger sus sistemas.

Explotación exitosa en una organización de infraestructura crítica en Estados Unidos

Pocos días después de la advertencia de Citrix, la agencia de ciberseguridad de Estados Unidos, CISA, reveló que la vulnerabilidad había sido explotada contra una organización de infraestructura crítica en junio y que fue reportada a la agencia a principios de julio.

Según CISA, los hackers aprovecharon la vulnerabilidad para instalar una webshell en el dispositivo NetScaler ADC de la organización, lo que les permitió recopilar y extraer datos del Directorio Activo de la organización, incluyendo información sobre usuarios, grupos, aplicaciones y dispositivos en la red. Sin embargo, debido a que el dispositivo estaba aislado dentro de la red de la organización, los hackers no pudieron moverse lateralmente y comprometer el controlador de dominio.

Aunque esta organización logró repeler con éxito a los hackers que apuntaban a sus sistemas, miles de otras organizaciones podrían estar en riesgo. La Fundación Shadowserver, una organización sin ánimo de lucro que trabaja para hacer que Internet sea más seguro, ha encontrado más de 15.000 servidores de Citrix en todo el mundo en riesgo de ser comprometidos si no se aplican los parches.

Según su análisis, el mayor número de servidores sin parches se encuentra en Estados Unidos (5.700), seguido de Alemania (1.500), Reino Unido (1.000) y Australia (582).

Posibles responsables y campañas de ciberespionaje

Aún no se sabe quién está detrás de la explotación de esta vulnerabilidad, pero se sabe que las vulnerabilidades de Citrix han sido aprovechadas tanto por ciberdelincuentes con motivaciones financieras como por actores de amenazas patrocinados por estados, incluidos grupos vinculados a China.

En una publicación de blog realizada durante el fin de semana, los investigadores de Mandiant señalaron que, aunque aún no pueden atribuir las intrusiones a ningún grupo de amenazas conocido, la actividad es "coherente con operaciones anteriores realizadas por actores relacionados con China, según las capacidades conocidas y las acciones contra los dispositivos ADC de Citrix en 2022". Mandiant agregó que es probable que las intrusiones formen parte de una campaña de recolección de inteligencia, y destacó que los actores de amenazas motivados por el espionaje continúan atacando tecnologías que no admiten soluciones de detección y respuesta en el punto final, como firewalls, dispositivos IoT, hipervisores y VPN.

"Durante años, Mandiant ha investigado docenas de intrusiones en organizaciones de la base industrial de defensa (DIB), gobierno, tecnología y telecomunicaciones, donde se sospecha que grupos relacionados con China han aprovechado vulnerabilidades de día cero e implementado malware personalizado para robar credenciales de usuario y mantener acceso a largo plazo a los entornos de las víctimas", dijeron los investigadores.

La explotación de esta vulnerabilidad en Citrix es una advertencia para las organizaciones de todo el mundo sobre la importancia de aplicar parches de seguridad de manera oportuna y estar preparados para enfrentar posibles amenazas cibernéticas. Con miles de empresas en riesgo, es fundamental que los responsables de la seguridad tomen medidas inmediatas para proteger sus sistemas y datos sensibles.