por Se ha observado que los piratas informáticos explotan una vulnerabilidad de día cero en un producto Citrix para atacar al menos una organización de infraestructura crítica en los Estados Unidos.
La noticia, reportada por tecnologíaCalmuerzoha sido confirmado por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), así como por varias empresas de ciberseguridad.
Según el informe, los piratas informáticos no identificados explotaron una falla en NetScaler ADC y NetScaler Gateway rastreada como CVE-2023-3519. Tiene un índice de gravedad de 9,8, lo que lo convierte en un defecto crítico. Lo usaron para ejecutar código arbitrario en dispositivos como usuarios no autenticados. NetScaler ADC y NetScaler Gateway son productos empresariales creados para la entrega segura de aplicaciones y servicios VPN.
Amenaza de día cero de Citrix
Días después de que Citrix publicara una solución e instara a los usuarios a aplicarla de inmediato mientras explotaba la falla en la naturaleza, CISA dijo que observó que se abusaba de la falla en junio, contra una organización de infraestructura crítica de EE. UU. no identificada.
Según CISA, los atacantes usaron la falla para entregar un webshell al NetScaler ADC, lo que les permitió robar datos confidenciales del Directorio Activo de la empresa. La buena noticia es que el dispositivo está aislado dentro de la red, lo que evita que los atacantes se muevan lateralmente y causen más daño.
Esta empresa puede salir con un rasguño, pero otros pueden resultar gravemente heridos, afirma la publicación, hay más de 15.000 servidores Citrix en todo el mundo que no han sido parcheados y, como tal, son vulnerables a esta falla. La mayoría de ellos están en los Estados Unidos (5700), con números significativos también en Alemania (1500) y el Reino Unido (1000).
Citrix dijo que no sabe quién explotó la falla en este momento, pero sospecha que los actores están motivados financieramente y patrocinados por el estado. Se vuelve a mencionar a China. Los investigadores de Mandiant están en la misma línea y dicen que la actividad es «consistente con las operaciones anteriores de los actores del nexo con China basadas en capacidades y acciones conocidas contra Citrix ADC en 2022».
