carrera destructiva: Citrix lanza nuevos parches, y los piratas informáticos están atacando activamente servidores vulnerables e instalando motores de cifrado en ellos. Parece que los usuarios están perdiendo.
A principios de este año se descubrió CVE-2019-19781 vulnerabilidad, que afecta a varias versiones de Citrix Application Delivery Controller (CAD), Puerta de enlace Citrix, así como dos versiones antiguas de Citrix SD-WAN WANOP. Como se informó a principios de mes., hubo exploits para ello en el dominio público.
Después de la publicación de las hazañas., Se intensificaron los ataques a versiones vulnerables de Citrix, tal como se esperaba, ya que numerosos piratas informáticos esperan comprometer algún objetivo importante que no tuvo tiempo de actualizar – una red corporativa, un servidor estatal, o una agencia gubernamental.
“El principal problema fue que, aunque ha pasado más de un mes desde que se descubrió la vulnerabilidad, Los desarrolladores de Citrix no tenían prisa por lanzar el parche”, – Los expertos del EI condenan a la empresa.
En primer lugar, empresa se limitó únicamente a recomendaciones de seguridad, Explicar a los clientes cómo reducir los riesgos..
Incluso hubo un precedente interesante. – un unknown hacker used vulnerable methods to patch vulnerable Citrix servers y, según analistas de seguridad de la información, no porque fuera Robin Hood, sus intenciones eran dudosas.
Desarrolladores Citrix presentó un parche real solo la semana pasada, y no soltó los parches finales hasta el ultimo viernes.
Los expertos de Citrix y FireEye también proporcionaron soluciones gratuitas para identificar compromisos y sistemas vulnerables..
Ahora ojo de fuego y Bajo la brecha Los analistas advierten que los operadores criptográficos REvil (Sodinokibi) y Ragnarok están infectando activamente servidores Citrix vulnerables, que todavía son numerosos.
“Examiné los archivos que REvil publicó desde Gedia.com después de que se negaron a pagar el ransomware.. Lo interesante que descubrí es que obviamente piratearon Gedia mediante el exploit Citrix.. Mi apuesta es que se accedió a todos los objetivos recientes a través de este exploit.. Esto simplemente demuestra el impacto que podría tener un solo exploit.. Otros archivos incluyen facturas., estructuras de datos y un volcado completo de las contraseñas de los servidores. El RGPD será duro con estos tipos y esto es exactamente lo que quiere REvil, el incentivo para el ransomware está realmente vivo!", — escribe Bajo el representante de la empresa Incumplimiento.
Además, según informes no confirmados, Los creadores del ransomware Maze apuntaron a sistemas vulnerables..
Es necesario decir que en general el proceso de instalación de parches va bien.. si en diciembre 2019 el número de sistemas vulnerables se estimó en 80,000 servidores, luego, a mediados de enero, su número cayó a aproximadamente 25,000, y la semana pasada cayó por debajo 11,000 sistemas en conjunto. Especialistas de la Fundación GDI vigilar de cerca estas estadisticas.
