Múltiples actores de amenazas, incluidos los afiliados del ransomware LockBit, están explotando activamente una falla de seguridad crítica recientemente revelada en el control de entrega de aplicaciones (ADC) de Citrix NetScaler y en los dispositivos Gateway para obtener acceso inicial a los entornos de destino.
El aviso conjunto proviene de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), la Oficina Federal de Investigaciones (FBI), el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC) y el Centro Australiano de Seguridad Cibernética de la Dirección de Señales de Australia (ACSC de ASD). .
«Citrix Bleed, conocido por ser aprovechado por los afiliados de LockBit 3.0, permite a los actores de amenazas eludir los requisitos de contraseña y la autenticación multifactor (MFA), lo que lleva al secuestro exitoso de sesiones de usuarios legítimos en el control de entrega de aplicaciones web (ADC) de Citrix NetScaler y en los dispositivos Gateway. «las agencias dicho.
«Al tomar el control de sesiones de usuarios legítimos, los actores maliciosos adquieren permisos elevados para recopilar credenciales, moverse lateralmente y acceder a datos y recursos».
Registrada como CVE-2023-4966 (puntuación CVSS: 9,4), Citrix abordó la vulnerabilidad el mes pasado, pero no antes de convertirla en arma de día cero, al menos desde agosto de 2023. Tiene el nombre en código Citrix Bleed.
Poco después de la divulgación pública, Mandiant, propiedad de Google, reveló que está rastreando cuatro grupos diferentes sin categoría (UNC) involucrados en la explotación de CVE-2023-4966 para apuntar a varios sectores verticales de la industria en América, EMEA y APJ.
El último actor de amenazas en unirse al tren de la explotación es LockBit, que se ha observado aprovechando la falla para ejecutar scripts de PowerShell, así como eliminar herramientas de administración y monitoreo remotos (RMM) como AnyDesk y Splashtop para actividades de seguimiento.
El desarrollo subraya una vez más el hecho de que las vulnerabilidades en los servicios expuestos siguen siendo el principal vector de entrada para los ataques de ransomware.
La divulgación se produce cuando Check Point publicó un estudio comparativo de ataques de ransomware dirigidos a Windows y Linux, señalando que la mayoría de las familias que irrumpen en Linux utilizan en gran medida la biblioteca OpenSSL junto con los algoritmos ChaCha20/RSA y AES/RSA.
«El ransomware para Linux está claramente dirigido a organizaciones medianas y grandes en comparación con las amenazas para Windows, que son de naturaleza mucho más general», afirma el investigador de seguridad Marc Salinas Fernández. dicho.
El examen de varias familias de ransomware dirigidas a Linux «revela una tendencia interesante hacia la simplificación, donde sus funcionalidades principales a menudo se reducen a procesos de cifrado básicos, dejando así el resto del trabajo a scripts y herramientas legítimas del sistema».
Check Point dijo que el enfoque minimalista no solo hace que estas familias de ransomware dependan en gran medida de configuraciones y scripts externos, sino que también hace que sea más fácil pasar desapercibidos.