12 ene. 2020

Shitrix: PoC para vulnerabilidad RCE crítica en Citrix intensifica los ataques (actualizado)

Ayer se publicaron dos PoC para una vulnerabilidad crítica en Citrix (CVE-2019-19781), lo que permite que ahora los ataques sean triviales para la mayoría de los delincuentes. La vulnerabilidad, que ha estado ahí desde 2014, es tan grave que se considera uno de los errores más peligrosos revelados en los últimos años. Todavía no hay parche y, según ha informado Citrix, se publicará a fin de enero. ha publicado el parche.

Denominada Shitrix, esta vulnerabilidad afecta a Citrix Application Delivery Controller (ADC), anteriormente conocido como NetScaler ADC, y Citrix Gateway, anteriormente conocido como NetScaler Gateway.

La vulnerabilidad es un error de path traversal que puede ser explotado desde Internet por un atacante y sin proporcionar credenciales de autenticación para el dispositivo afectado. Todo lo que un atacante tiene que hacer es enviar una solicitud manipulada al dispositivo vulnerable de Citrix, junto con el código de explotación que desean ejecutar en el dispositivo.

El error fue descubierto e informado a Citrix por Mikhail Klyuchnikov, investigador de la firma de seguridad del Reino Unido Positive Technologies. Klyuchnikov dijo que en el momento en que encontró el error, había más de 80.000 organizaciones ejecutando instancias vulnerables de Citrix.

El 17 de diciembre, Citrix lanzó un aviso de seguridad para sus clientes, pero la compañía no lanzó un parche. En cambio, Citrix publicó una página de soporte que detalla la mitigación, en forma de ajustes de configuración. Citrix publicó este workaround que, básicamente, añade una política para denegar estas peticiones.

Mientras tanto, los atacantes han comenzado a descubrir cómo explotar el error, lo que muchos investigadores de seguridad dijeron que era trivial y que solo requería unas pocas líneas de código.

Los escaneos han estado ocurriendo durante semanas, pero los intentos de explotación también han comenzado hace al menos tres días, según varios expertos en seguridad y empresas de ciberseguridad que ejecutan servidores honeypot.

La gravedad del error y el claro peligro para los sistemas empresariales no pasaron desapercibidos. En las últimas semanas, expertos en seguridad, funcionarios gubernamentales, agencias gubernamentales de ciberseguridad, equipos CERT y cualquier persona que entienda la seguridad empresarial básica han estado advirtiendo a las empresas que apliquen las mitigaciones de Citrix para evitar que los ataques exploten máquinas vulnerables hasta que Citrix finalmente se lance Una solución permanente en forma de parche.

Código de prueba de concepto ampliamente disponible

Si bien los ataques han aumentado lentamente en intensidad en los últimos días, la comunidad de seguridad creía que las cosas no se irían de las manos, ya que los atacantes aún tendrían que encontrar una manera de explotar los sistemas Citrix vulnerables, sin que haya una explotación pública conocida.

Esto cambió el viernes por la noche, cuando un grupo de investigadores de seguridad que se autodenominaban Project Zero India lanzó el primer código de explotación en forma de PoC para la vulnerabilidad CVE-2019-19781.
Unas horas más tarde, el equipo de TrustedSec siguió con su propia PoC y lo mismo hizo Metasploit. El equipo de TrustedSec había desarrollado su PoC a principios de esta semana, pero se negó a publicarlo porque sabía que publicar el código en Internet provocaría un aumento en los intentos de explotación.

La empresa de seguridad espera que las empresas usen su herramienta para probar sus redes en busca de instancias vulnerables de Citrix y si configuraron la mitigación de Citrix correctamente.

Consta, además, que la vulnerabilidad ha sido aprovechada para la instalación de malware con vistas a una posible campaña posterior. Identificado como NOTROBIN, el software malicioso se encargaba de eliminar miners y otro tipo de malware propiedad de otros hipotéticos atacantes, con la intención de mantener acceso exclusivo a las máquinas comprometidas. Puede encontrarse la investigación de Fireye al respecto, desglosada con notable detalle en este enlace.
También han publicado en su blog, cómo analizar los sistemas Citrix en busca de cualquier posible compromiso.

Fuentes

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!