Ciberseguridad 360 | LockBit ransomware explota vulnerabilidad crítica de Citrix Bleed

M�ltiples actores de amenazas, incluidos los afiliados al ransomware LockBit, est�n explotando activamente un fallo de seguridad cr�tico recientemente revelado en los dispositivos de control de entrega de aplicaciones (ADC) y Gateway de Citrix NetScaler para obtener acceso inicial a los entornos objetivo.

El aviso conjunto procede de la Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos (CISA), la Oficina Federal de Investigaciones (FBI), el Centro Multiestatal de An�lisis e Intercambio de Informaci�n (MS-ISAC) y el Centro Australiano de Ciberseguridad de la Direcci�n Australiana de Se�ales (ASD's ACSC).

"Citrix Bleed, conocido por ser aprovechado por los afiliados de LockBit 3.0, permite a los actores de amenazas eludir los requisitos de contrase�a y autenticaci�n multifactor (MFA), lo que lleva al secuestro exitoso de sesiones de usuarios leg�timos en Citrix NetScaler web application delivery control (ADC) y Gateway appliances", dijeron las agencias.

"A trav�s de la toma de control de sesiones de usuario leg�timas, los actores maliciosos adquieren permisos elevados para cosechar credenciales, moverse lateralmente y acceder a datos y recursos".

Rastreada como CVE-2023-4966 (puntuaci�n CVSS: 9,4), la vulnerabilidad fue abordada por Citrix el mes pasado, pero no antes de que se convirtiera en un arma de zero-day al menos desde agosto de 2023. Su nombre en clave es Citrix Bleed.

Poco despu�s de la divulgaci�n p�blica, Mandiant, propiedad de Google, revel� que est� rastreando cuatro grupos diferentes no categorizados (UNC) implicados en la explotaci�n de CVE-2023-4966 para atacar varios sectores verticales de la industria en Am�rica, EMEA y APJ.

La �ltima amenaza que se ha sumado al carro de la explotaci�n es LockBit, que se ha aprovechado del fallo para ejecutar scripts de PowerShell y utilizar herramientas de gesti�n y monitorizaci�n remotas (RMM) como AnyDesk y Splashtop para actividades posteriores.

El desarrollo subraya una vez m�s el hecho de que las vulnerabilidades en los servicios expuestos siguen siendo un vector de entrada principal para los ataques de ransomware.

La revelaci�n se produce cuando Check Point public� un estudio comparativo de los ataques de ransomware dirigidos a Windows y Linux, se�alando que la mayor�a de las familias que irrumpen en Linux utilizan en gran medida la biblioteca OpenSSL junto con los algoritmos ChaCha20/RSA y AES/RSA.

"El ransomware para Linux est� claramente dirigido a organizaciones medianas y grandes, en comparaci�n con las amenazas para Windows, que son de naturaleza mucho m�s general", afirma el investigador de seguridad Marc Salinas Fern�ndez.

El examen de varias familias de ransomware dirigidas a Linux "revela una interesante tendencia hacia la simplificaci�n, en la que sus funcionalidades principales se reducen a menudo a procesos b�sicos de cifrado, dejando as� el resto del trabajo a scripts y herramientas leg�timas del sistema".

Check Point afirma que este enfoque minimalista no s�lo hace que estas familias de ransomware dependan en gran medida de configuraciones y scripts externos, sino que tambi�n facilita que pasen desapercibidas.

Fuente: thehackernews