Ciberseguridad 360 | LockBit ransomware explota vulnerabilidad de Citrix Bleed

Los ataques del ransomware Lockbit utilizan exploits disponibles p�blicamente de la vulnerabilidad Citrix Bleed (CVE-2023-4966) para penetrar en los sistemas de grandes organizaciones, robar datos y cifrar archivos.

Aunque Citrix puso a disposici�n correcciones para CVE-2023-4966 hace m�s de un mes, miles de terminales expuestos a Internet siguen ejecutando dispositivos vulnerables, muchos de ellos en Estados Unidos.

Ataques Lockbit de gran repercusi�n

El investigador de amenazas Kevin Beaumont ha estado rastreando ataques contra varias empresas, entre ellas el Banco Industrial y Comercial de China (ICBC), DP World, Allen & Overy y Boeing, y descubri� que ten�an algo en com�n.

Se trata de servidores Citrix expuestos vulnerables al fallo Citrix Bleed, del que dice que la banda de ransomware LockBit est� aprovechando los ataques.

DP World ejecuta un servidor Citrix vulnerable al fallo Citrix Bleed

Fuente: Kevin Beaumont

Esto fue confirmado por el Wall Street Journal, que obtuvo un correo electr�nico del Tesoro de EE.UU. enviado a proveedores de servicios financieros seleccionados, mencionando que LockBit era responsable del ciberataque a ICBC, que se logr� mediante la explotaci�n de la falla Citrix Bleed.

Si LockBit utiliz� la vulnerabilidad para penetrar en una empresa, se cree que probablemente penetraron en Boeing y DP World de forma similar.

Es probable que estos ataques los est� llevando a cabo un afiliado de LockBit que est� utilizando en gran medida esta vulnerabilidad para penetrar en las redes, en lugar de ser la propia operaci�n de ransomware la que est� detr�s del ataque.

Como LockBit es el mayor Ransomware-as-a-Service, utiliza muchos afiliados que tienen total discreci�n sobre c�mo violan las redes.

Como vimos con un afiliado que pertenec�a tanto a la operaci�n GandCrab como a la operaci�n REvil, no es raro que un hacker se centre en un sector concreto o en un m�todo de acceso inicial.

Por ejemplo, un afiliado de GandCrab/REvil se especializ� en explotar software MSP para cifrar empresas, y es probable que veamos a un afiliado de LockBit utilizando el fallo Citrix Bleed para penetrar masivamente en las redes.

Una enorme superficie de ataque

En el momento de redactar este art�culo, m�s de 10.400 servidores Citrix son vulnerables a CVE-2023-4966, seg�n los hallazgos del investigador de amenazas japon�s Yutaka Sejiyama compartidos con BleepingComputer.

La mayor�a de los servidores, 3.133, se encuentran en Estados Unidos, seguidos de 1.228 en Alemania, 733 en China, 558 en el Reino Unido, 381 en Australia, 309 en Canad�, 301 en Francia, 277 en Italia, 252 en Espa�a, 244 en los Pa�ses Bajos y 215 en Suiza.

Los escaneos de Sejiyama han revelado servidores vulnerables en organizaciones grandes y cr�ticas de los pa�ses mencionados y muchos otros, todos los cuales siguen sin parchear m�s de un mes entero despu�s de la divulgaci�n p�blica del fallo cr�tico.

Detalles de Citrix Bleed

Citrix Bleed fue revelado el 10 de octubre como un problema de seguridad cr�tico que afecta a Citrix NetScaler ADC y Gateway, permitiendo el acceso a informaci�n sensible del dispositivo.

Mandiant inform� de que los actores de amenazas comenzaron a explotar Citrix Bleed a finales de agosto, cuando el fallo de seguridad todav�a era de zero-day. En los ataques, los hackers utilizaban peticiones HTTP GET para obtener las cookies de sesi�n AAA de Netscaler despu�s de la etapa de autenticaci�n multifactor (MFA).

Citrix inst� a los administradores a proteger los sistemas de estos ataques de baja complejidad y sin interacci�n. El 25 de octubre, la empresa de gesti�n de superficies de ataque externas AssetNote public� un exploit de prueba de concepto que demuestra c�mo se pueden robar los tokens de sesi�n.

Fuente: bleepingcomputer