Código de prueba de concepto publicado para el error de Citrix a medida que se intensifican los ataques



Imagen: Proyecto Zero India A partir de ayer, ahora existe un código público de explotación de prueba de concepto para CVE-2019-19781, una vulnerabilidad en el equipo empresarial de Citrix que puede permitir que los piratas informáticos se apoderen de los dispositivos y accedan a las redes internas de las empresas. La vulnerabilidad es tan grave como se pone y se ha considerado uno de los errores más peligrosos revelados en los últimos años. Denominada Shitrix por la comunidad más grande de infosec, esta vulnerabilidad afecta a Citrix Application Delivery Controller (ADC), anteriormente conocido como NetScaler ADC, y Citrix Gateway, anteriormente conocido como NetScaler Gateway. La vulnerabilidad es un error de recorrido que puede ser explotado en Internet por un atacante. El atacante no tiene que proporcionar credenciales de autenticación para el dispositivo al iniciar un ataque. Todo lo que un atacante tiene que hacer es enviar una solicitud de trampa explosiva al dispositivo vulnerable de Citrix, junto con el código de explotación que desean ejecutar en el dispositivo. El error fue descubierto e informado a Citrix por Mikhail Klyuchnikov, investigador de la firma de seguridad del Reino Unido Positive Technologies. Klyuchnikov dijo que en el momento en que encontró el error, había más de 80,000 organizaciones ejecutando instancias vulnerables de Citrix. El 17 de diciembre, Citrix lanzó un aviso de seguridad para sus clientes, pero la compañía no lanzó un parche. En cambio, Citrix publicó una página de soporte que detalla las mitigaciones en forma de ajustes de configuración. Casi un mes después, Citrix aún no ha lanzado un parche, a pesar de la gravedad del error y su gran impacto. Mientras tanto, los actores de amenazas han comenzado a descubrir cómo explotar el error, lo que muchos investigadores de seguridad dijeron que era trivial y que solo requería unas pocas líneas de código. Los escaneos han estado ocurriendo durante semanas, pero los intentos de explotación también han comenzado durante al menos tres días, según varios expertos en seguridad y empresas de ciberseguridad que ejecutan servidores honeypot. La gravedad del error y el claro peligro para los sistemas empresariales no pasaron desapercibidos. En las últimas semanas, expertos en seguridad, funcionarios gubernamentales, agencias gubernamentales de ciberseguridad, equipos CERT y cualquier persona que entienda la seguridad empresarial básica han estado advirtiendo a las empresas que apliquen las mitigaciones de Citrix para evitar que los ataques exploten máquinas vulnerables hasta que Citrix finalmente se lance Una solución permanente en forma de parche. Si bien los ataques han aumentado lentamente en intensidad en los últimos días, la comunidad de seguridad creía que las cosas no se irían de las manos, ya que los atacantes aún tendrían que encontrar una manera de explotar los sistemas Citrix vulnerables, sin una explotación pública. Esto cambió ayer, el viernes por la noche, cuando un grupo de investigadores de seguridad que se autodenominaban Proyecto Cero India lanzó el primer código de explotación de prueba de concepto (PoC) para la vulnerabilidad CVE-2019-19781. Unas horas más tarde, el equipo de TrustedSec siguió con su propia PoC. El equipo de TrustedSec había desarrollado su PoC a principios de esta semana, pero se negó a publicarlo porque sabía que publicar el código en Internet provocaría un aumento en los intentos de explotación, algo que no querían hacer. "Solo estamos divulgando esto debido a que otros publicaron primero el código de explotación", dijo TrustedSec en una descripción de su herramienta en GitHub. "Hubiéramos esperado tener esto oculto por un tiempo más, mientras que los defensores tuvieron el tiempo apropiado para parchar sus sistemas". La empresa de seguridad espera que las empresas usen su herramienta para probar sus redes en busca de instancias vulnerables de Citrix y si configuraron la mitigación de Citrix correctamente. También han publicado una publicación de blog sobre cómo analizar los sistemas Citrix en busca de cualquier posible compromiso, en caso de que algunas empresas hayan tenido la desafortunada suerte de haber sido pirateadas. Redacciones técnicas adicionales que analizan el error de Citrix: Tecnologías positivas, MDSec, TrustedSec. Actualizado el 12 de enero a las 5 a.m. ET: en una publicación de blog luego de la publicación en línea de un código de prueba de concepto, Citrix prometió parches para CVE-2019-19781 para fin de mes. pag VER GALERÍA COMPLETA

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı