Breves antecedentes de Citrix Bleed
Citrix Bleed, una vulnerabilidad crítica en Citrix NetScaler®, ha recibido una cobertura considerable en las publicaciones de la industria informática. En este artículo se explican los antecedentes de Citrix Bleed y por qué se sigue hablando de ella meses después de que se descubriera la vulnerabilidad.
Descubrimiento y mitigación iniciales
El 18 de julio de 2023, Cloud Software Group (CSG), la empresa resultante de la fusión de Citrix® y TIBCO® en 2022, anunció tres vulnerabilidades críticas descubiertas en NetScaler® ADC y NetScaler Gateway gestionados por clientes como Boletín de Seguridad en el Centro de Conocimiento de Citrix. Según el boletín, la vulnerabilidad más crítica, CVE-2023-3519, ya había sido explotada.
En ese momento, CSG recomendó que se instalaran versiones actualizadas del software NetScaler ADC y Gateway en los dispositivos no mitigados y también publicó actualizaciones de seguridad, instando a los clientes a aplicar los parches lo antes posible.
El 20 de julio de 2023, la Cybersecurity and Infrastructure Security Agency (CISA), parte del United States Department of Homeland Security (DHS), emitió un Cybersecurity Advisory reconociendo que CVE-2023-3519 había sido explotado contra una organización de infraestructuras críticas de Estados Unidos en junio de 2023 y reportado a CISA en julio. (NOTA: Los identificadores CVE son asignados por una de las aproximadamente 100 CVE Numbering Authorities (CNAs); MITRE Corporation es el Editor y principal CNA de la organización).
En este exploit, los hackers soltaron un web shell (malware que permite el acceso remoto a un servidor web) en el dispositivo NetScaler ADC de la organización. Esta acción permitió a los hackers robar datos del Active Directory (AD) de la organización, incluida información sobre usuarios, grupos, aplicaciones y dispositivos de la red.
Por suerte, el dispositivo atacado estaba aislado dentro de la red de la organización, por lo que los hackers no pudieron poner en peligro el controlador de dominio, que proporciona servicios de autenticación y autorización para el dominio AD. La organización pudo defenderse de los hackers y limitar el ataque.
En ese momento, la Fundación Shadowserver estimó que más de 15.000 servidores Citrix ubicados en todo el mundo corrían el riesgo de verse comprometidos a menos que se aplicaran parches.
Evolución a Citrix Bleed
El 10 de octubre de 2023, CSG reveló una nueva vulnerabilidad en los dispositivos NetScaler ADC y NetScaler Gateway gestionados por clientes. Esta vulnerabilidad, a la que se asignó el identificador CVE-2023-4966, recibió el nombre común de Citrix Bleed, que alude a una conocida vulnerabilidad de 2014 llamada Heartbleed, que se explotó ampliamente y permitió a los hackers robar información confidencial como contraseñas, claves de cifrado y credenciales bancarias.
Citrix Bleed permite a atacantes remotos no autenticados extraer datos de la memoria de un dispositivo NetScaler vulnerable, incluyendo tokens de sesión sensibles. Resulta alarmante que aprovechar la vulnerabilidad es bastante sencillo y permite a un hacker tomar el control de la red gestionada por el dispositivo NetScaler y utilizar tokens de sesión que autentican las solicitudes de los usuarios y permiten acceder a sus datos sin necesidad de contraseña ni de utilizar autenticación de dos factores.
CSG publicó parches para Citrix Bleed, pero el17 de octubre actualizó su aviso de seguridad para revelar que había observado la explotación en la naturaleza, es decir, pruebas de que la vulnerabilidad ya estaba siendo aprovechada en muchas organizaciones. De hecho, algunas empresas de ciberseguridad detectaron la explotación de la vulnerabilidad a finales de agosto.
Los exploits de Citrix Bleed están probablemente en curso
En el momento de escribir este artículo, muchas organizaciones importantes han revelado brechas de seguridad habilitadas por Citrix Bleed, incluyendo Boeing y Xfinity. Hay varios grupos de amenazas que trabajan activamente para seguir explotando Citrix Bleed con el fin de obtener información confidencial para venderla, pedir un rescate o utilizarla como parte de una operación de recopilación de inteligencia. Y, mientras estos grupos sigan aprovechando Citrix Bleed, los medios de comunicación del sector seguirán cubriendo las brechas resultantes.
¿Por qué estos grupos siguen intentando explotar Citrix Bleed? Como se señaló anteriormente, Citrix Bleed es fácil de explotar si una organización no ha aplicado el parche adecuado, pero, además de aplicar el parche, TI también debe invalidar los tokens de sesión activos y persistentes antes de reiniciar el dispositivo. Esa invalidación impide que un hacker acceda a los tokens de sesión válidos en memoria y los utilice para tomar el control de las sesiones activas y acceder a información sensible del usuario.
Debido a que Citrix Bleed es tan fácil de explotar, cualquier organización que utilice NetScaler debe asumir que su(s) dispositivo(s) ha(n) sido comprometido(s), asegurarse de que se han aplicado todos los parches apropiados e invalidar los tokens de sesión. Además, TI debe examinar todos los dispositivos de red y toda la infraestructura en busca de signos de compromiso; varias empresas de seguridad han publicado guías de seguridad detalladas y gratuitas para ayudar.
¿Y ahora qué?
Para los clientes de Citrix, especialmente los que utilizan NetScaler en su infraestructura informática, Citrix Bleed ha sido una experiencia angustiosa. Como resultado, algunos de ellos pueden preguntarse si la reciente adquisición y fusión de Citrix con TIBCO distrajo al equipo de productos NetScaler y ralentizó su reconocimiento de varios fallos de seguridad críticos en sus productos. Algunos clientes de Citrix/CSG pueden preguntarse si otros elementos de la infraestructura altamente compleja de Citrix/CSG podrían estar en peligro.
Si usted es un ISV o MSP que está reevaluando su uso de Citrix para entregar aplicaciones Windows a los clientes, o desea reducir la complejidad de su infraestructura informática de usuario final, o reducir su costo para entregar aplicaciones Windows, considere GO-Global.
Con la publicación de aplicaciones GO-Global, las aplicaciones Windows se ejecutan en un servidor, que puede instalarse en cualquier nube pública, privada o híbrida. A continuación, GO-Global aprovecha la infraestructura existente y las características de seguridad y escalabilidad de sus servicios en la nube para ofrecer funcionalidades avanzadas con menos complejidad, menor coste y menor riesgo.
Para las organizaciones preocupadas por la seguridad, GO-Global admite la autenticación de dos factores y es la única solución de publicación de aplicaciones de Windows que proporciona compatibilidad de inicio de sesión único para OpenID® Connect (OIDC), lo que permite a las organizaciones utilizar proveedores de identidad OIDC como Okta® y Microsoft® Active Directory Federated Services (ADFS) para el inicio de sesión único en hosts de Windows GO-Global.
A pesar de su bajo coste, GO-Global ofrece una escalabilidad de nivel empresarial, pero es fácil de instalar, configurar y utilizar, y proporciona una gran experiencia de usuario, incluidos unos inicios de sesión rápidos y una latencia mínima, incluso en conexiones con poco ancho de banda.
Reducir la complejidad. Reducir costes. Reduzca el riesgo.
Consiga GO-Global.
Para obtener más información, solicite una demostración aquí o descargue una versión de prueba gratuita de 30 días.
