Recientemente, En el dominio público aparecieron exploits para la vulnerabilidad crítica CVE-2019-19781., anteriormente encontrado en Citrix Application Delivery Controller (ADC de NetScaler) y puerta de enlace Citrix (Puerta de enlace NetScaler). Ahora se informó que un hacker desconocido accede a servidores Citrix vulnerables y los parchea.
Recordemos que según los expertos, este problema amenaza 80,000 empresas en 158 países y permite a los piratas informáticos apoderarse de dispositivos.
En casi todos los casos, Las aplicaciones Citrix están disponibles en el perímetro de la red de una empresa., lo que significa que son más propensos a sufrir ataques. De este modo, la vulnerabilidad permite que un atacante externo no autorizado no solo obtenga acceso a las aplicaciones publicadas, pero también realizando ataques desde el servidor Citrix a otros recursos de la red interna de la empresa víctima», – informe expertos de Positive Technologies.
El error es tan grave que se considera uno de los errores más peligrosos descubiertos en los últimos años..
El principal problema es que ha pasado más de un mes desde que se descubrió la vulnerabilidad, pero los desarrolladores de Citrix no tenían prisa por lanzar el parche. En primer lugar, la empresa se limitó únicamente a recomendaciones de seguridad, Explicar a los clientes cómo reducir los riesgos., y la corrección real apareció solo en enero 19, 2020.
Después de la publicación de las hazañas., Se intensificaron los ataques a versiones vulnerables de Citrix, justo era lo esperado, ya que muchos piratas informáticos esperan comprometer algún objetivo importante – una red corporativa, un servidor estatal, o una agencia gubernamental.
Expertos en FireEye prevenido que al menos uno de los muchos atacantes está trabajando bajo Tor y muestra un comportamiento extraño: implementa la carga útil NotRobin en servidores pirateados.
NotRobin tiene dos objetivos principales. En primer lugar, Sirve como puerta trasera para un dispositivo Citrix pirateado.. En segundo lugar, es una especie de antivirus, eliminar otro malware encontrado en el sistema y así evitar dejar carga útil en este host. No se instaló ningún malware adicional en los servidores infectados además de NotRobin”., – dicen los analistas de FireEye.
Los investigadores de FireEye dudan de que algún tipo de samaritano esté detrás de estos ataques. en su informe, escriben que el hacker, más probable, solo recopila el acceso a dispositivos vulnerables, «los limpia» y se prepara para la próxima campaña
Como al mismo tiempo image of Greta Tunberg helps other hackers para penetrar en la red, No está claro qué o quién es más cínico y peligroso..