Múltiples actores de amenazas, incluidos los afiliados de ransomware LockBit, están explotando activamente una falla de seguridad crítica recientemente revelada en el control de entrega de aplicaciones (ADC) y los dispositivos Gateway de Citrix NetScaler para obtener acceso inicial a los entornos de destino.
El aviso conjunto proviene de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), la Oficina Federal de Investigaciones (FBI), el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC) y el Centro Australiano de Seguridad Cibernética de la Dirección de Señales de Australia (ACSC de ASD).
“Citrix Bleed, conocido por ser aprovechado por los afiliados de LockBit 3.0, permite a los actores de amenazas eludir los requisitos de contraseña y la autenticación multifactor (MFA), lo que lleva a un secuestro exitoso de sesiones de usuario legítimas en Citrix NetScaler web application delivery control (ADC) y dispositivos Gateway”, dijeron las agencias.
“A través de la toma de control de las sesiones de usuario legítimas, los actores maliciosos adquieren permisos elevados para recopilar credenciales, moverse lateralmente y acceder a datos y recursos”.
Rastreada como CVE-2023-4966 (puntuación CVSS: 9.4), la vulnerabilidad fue abordada por Citrix el mes pasado, pero no antes de que se convirtiera en un arma de día cero al menos desde agosto de 2023. Su nombre en clave es Citrix Bleed.
Poco después de la divulgación pública, Mandiant, propiedad de Google, reveló que está rastreando cuatro grupos diferentes sin categorizar (UNC) involucrados en la explotación de CVE-2023-4966 para apuntar a varias verticales de la industria en América, EMEA y APJ.
El último actor de amenazas en unirse al carro de la explotación es LockBit, que se ha observado que aprovecha la falla para ejecutar scripts de PowerShell, así como para eliminar herramientas de administración y monitoreo remoto (RMM) como AnyDesk y Splashtop para actividades de seguimiento.
El desarrollo subraya una vez más el hecho de que las vulnerabilidades en los servicios expuestos siguen siendo un vector de entrada principal para los ataques de ransomware.
La revelación se produce cuando Check Point publicó un estudio comparativo de los ataques de ransomware dirigidos a Windows y Linux, señalando que la mayoría de las familias que irrumpen en Linux utilizan en gran medida la biblioteca OpenSSL junto con los algoritmos ChaCha20/RSA y AES/RSA.
“El ransomware de Linux está claramente dirigido a organizaciones medianas y grandes en comparación con las amenazas de Windows, que son de naturaleza mucho más general”, dijo el investigador de seguridad Marc Salinas Fernández.
