Acorde a expertos en seguridad en redes, los ataques contra las implementaciones de Citrix han crecido de forma considerable durante las últimas semanas, teniendo como objetivos principales las redes corporativas de importantes compañías e instituciones gubernamentales.
Al respecto, un reporte recientemente publicado por la firma FireEye menciona que, entre todo el desorden provocado, destaca la actividad de un hacker con grandes capacidades. Al parecer, este actor de amenazas ha estado atacando múltiples servidores de Citrix desde un nodo de Tor usando una carga útil identificada como “NotRobin”.
Los especialistas en seguridad en redes de FireEye mencionan que NotRobin cuenta con una doble función: en primer lugar, esta carga útil actúa como backdoor en las soluciones de Citrix comprometidas. Posteriormente, adopta una función similar a la de un antivirus, eliminando cualquier otra muestra de malware detectado en el sistema atacado para evitar que cualquier otra carga útil sea entregada.
Los investigadores aún tienen muchas dudas respecto a las intenciones de los operadores de NotRobin, pues, después de que se completa la infección, no se entrega una sola carga de malware adicional. No obstante, FireEye considera que, a pesar de que este actor está eliminando otras variantes de malware de los sistemas vulnerables, lo más probable es que esté acumulando acceso a dispositivos vulnerables para una segunda etapa de ataque.
Como se ha reportado recientemente, los ataques contra las soluciones de Citrix se han enfocado en la explotación de CVE-2019-19781, una vulnerabilidad en Citrix ADC, también conocido como Citrix NetScaler ADC o NetScaler Gateway. Acorde a los expertos en seguridad en redes, existen al menos tres factores por los que esta falla es la más explotada actualmente:
- El amplio uso de Citrix ADC y Citrix Gateway en entornos empresariales, lo que representa una gran superficie de ataque para los actores de amenazas
- La facilidad con la que se explota la falla, pues no se requieren habilidades de hacking avanzadas
- El código de la prueba de concepto de esta vulnerabilidad fue publicado hace algunos días, por lo que múltiples grupos de hackers han estado atacando diversos sistemas
Investigadores del Instituto Internacional de Seguridad Cibernética (IICS) consideran que la compañía cometió algunos errores que contribuyeron al estado actual de la falla. Tras recibir el reporte de la vulnerabilidad hace unos meses, la compañía comenzó a trabajar en una corrección. Sin embargo, los detalles técnicos sobre la vulnerabilidad se filtraron antes de que Citrix tuviera lista la actualización, por lo que miles de administradores de sistemas quedaron expuestos a la explotación.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
