{"id":991811,"date":"2023-10-10T23:31:56","date_gmt":"2023-10-10T23:31:56","guid":{"rendered":"https:\/\/teknomers.com\/es\/dispositivos-citrix-bajo-ataque-falla-de-netscaler-explotada-para-capturar-credenciales-de-usuario\/"},"modified":"2023-10-10T23:32:00","modified_gmt":"2023-10-10T23:32:00","slug":"dispositivos-citrix-bajo-ataque-falla-de-netscaler-explotada-para-capturar-credenciales-de-usuario","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/dispositivos-citrix-bajo-ataque-falla-de-netscaler-explotada-para-capturar-credenciales-de-usuario\/","title":{"rendered":"Dispositivos Citrix bajo ataque: falla de NetScaler explotada para capturar credenciales de usuario"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">10 de octubre de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de redacci\u00f3n<\/span><\/span><span class=\"p-tags\">Seguridad de red\/contrase\u00f1a<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/Dispositivos-Citrix-bajo-ataque-falla-de-NetScaler-explotada-para-capturar.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Los actores de amenazas est\u00e1n aprovechando una falla cr\u00edtica recientemente revelada en los dispositivos Citrix NetScaler ADC y Gateway para llevar a cabo una campa\u00f1a de recolecci\u00f3n de credenciales.<\/p>\n<p>IBM X-Force, que descubri\u00f3 la actividad el mes pasado, <a rel=\"nofollow noopener\" href=\"https:\/\/securityintelligence.com\/x-force\/x-force-uncovers-global-netscaler-gateway-credential-harvesting-campaign\/\" target=\"_blank\">dicho<\/a> Los adversarios explotaron &#8220;CVE-2023-3519 para atacar NetScaler Gateways sin parches e insertar un script malicioso en el contenido HTML de la p\u00e1gina web de autenticaci\u00f3n para capturar las credenciales del usuario&#8221;.<\/p>\n<p>CVE-2023-3519 (puntuaci\u00f3n CVSS: 9,8), abordada por Citrix en julio de 2023, es una vulnerabilidad cr\u00edtica de inyecci\u00f3n de c\u00f3digo que podr\u00eda conducir a la ejecuci\u00f3n remota de c\u00f3digo no autenticado.  En los \u00faltimos meses, ha sido ampliamente explotado para infiltrarse en dispositivos vulnerables y obtener acceso persistente para ataques posteriores.<\/p>\n<p>En la \u00faltima cadena de ataque descubierta por IBM X-Force, los operadores enviaron una solicitud web especialmente dise\u00f1ada para desencadenar la explotaci\u00f3n de CVE-2023-3519 e implementar un shell web basado en PHP.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/moon-i-1.1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/Los-anuncios-de-chat-de-Bing-impulsados-\u200b\u200bpor-IA-de.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>El acceso proporcionado por el shell web se aprovecha posteriormente para agregar c\u00f3digo personalizado a la p\u00e1gina de inicio de sesi\u00f3n de NetScaler Gateway que hace referencia a un archivo JavaScript remoto alojado en una infraestructura controlada por el atacante.<\/p>\n<p>El c\u00f3digo JavaScript est\u00e1 dise\u00f1ado para recopilar los datos del formulario que contienen la informaci\u00f3n de nombre de usuario y contrase\u00f1a proporcionada por el usuario y transmitirlos a un servidor remoto a trav\u00e9s de un m\u00e9todo HTTP POST tras la autenticaci\u00f3n.<\/p>\n<p>La compa\u00f1\u00eda dijo que identific\u00f3 &#8220;al menos 600 direcciones IP de v\u00edctimas \u00fanicas que alojan p\u00e1ginas de inicio de sesi\u00f3n de NetScaler Gateway modificadas&#8221;, la mayor\u00eda de ellas ubicadas en EE. UU. y Europa.  Se dice que los ataques son de naturaleza oportunista debido a que las adiciones aparecen m\u00e1s de una vez.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/1696980716_783_Dispositivos-Citrix-bajo-ataque-falla-de-NetScaler-explotada-para-capturar.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/1696980716_783_Dispositivos-Citrix-bajo-ataque-falla-de-NetScaler-explotada-para-capturar.jpg\" alt=\"Citrix NetScaler\" border=\"0\" data-original-height=\"576\" data-original-width=\"728\" title=\"Citrix NetScaler\"\/><\/a><\/div>\n<p>No est\u00e1 exactamente claro cu\u00e1ndo comenz\u00f3 la campa\u00f1a, pero la primera modificaci\u00f3n de la p\u00e1gina de inicio de sesi\u00f3n fue el 11 de agosto de 2023, lo que indica que ha estado en marcha durante casi dos meses.  No se ha atribuido a ning\u00fan actor o grupo de amenazas conocido.<\/p>\n<p>La divulgaci\u00f3n se produce cuando Fortinet FortiGuard Labs descubri\u00f3 una versi\u00f3n actualizada de la campa\u00f1a DDoS basada en IZ1H9 Mirai que hace uso de una lista revisada de exploits dirigidos a varias fallas en c\u00e1maras IP y enrutadores de D-Link, Geutebr\u00fcck, Korenix, Netis, <a rel=\"nofollow noopener\" href=\"https:\/\/research.nccgroup.com\/2021\/07\/26\/technical-advisory-sunhillo-sureline-unauthenticated-os-command-injection-cve-2021-36380\/\" target=\"_blank\">Sunhillo SureLine<\/a>TP-Link, TOTOLINK, Yealink y Zyxel.<\/p>\n<p>&#8220;Esto resalta la capacidad de la campa\u00f1a para infectar dispositivos vulnerables y expandir dram\u00e1ticamente su botnet mediante la r\u00e1pida utilizaci\u00f3n del c\u00f3digo de explotaci\u00f3n publicado recientemente, que abarca numerosos CVE&#8221;, dijo la investigadora de seguridad Cara Lin. <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/Iz1h9-campaign-enhances-arsenal-with-scores-of-exploits\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>La explotaci\u00f3n exitosa de las vulnerabilidades allana el camino para la implementaci\u00f3n de un descargador de scripts de shell que se utiliza para recuperar la carga \u00fatil IZ1H9, convirtiendo las m\u00e1quinas Linux comprometidas en bots controlados remotamente para ataques DDoS y de fuerza bruta a gran escala.<\/p>\n<p>&#8220;Para contrarrestar esta amenaza, se recomienda encarecidamente que las organizaciones apliquen r\u00e1pidamente parches cuando est\u00e9n disponibles y cambien siempre las credenciales de inicio de sesi\u00f3n predeterminadas para los dispositivos&#8221;, dijo Lin.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/cis-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/1696134768_108_Los-anuncios-de-chat-de-Bing-impulsados-\u200b\u200bpor-IA-de.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>El desarrollo tambi\u00e9n coincide con una nueva falla de inyecci\u00f3n remota de comandos sin parches que afecta al extensor de alcance D-Link DAP-X1860 (CVE-2023-45208) y que podr\u00eda ser utilizado por actores de amenazas para ejecutar comandos de shell durante el proceso de configuraci\u00f3n mediante la creaci\u00f3n de una red Wi-Fi. con un SSID elaborado que contiene el s\u00edmbolo de ap\u00f3strofe, seg\u00fan <a rel=\"nofollow noopener\" href=\"https:\/\/www.redteam-pentesting.de\/en\/advisories\/rt-sa-2023-006\/-d-link-dap-x1860-remote-command-injection\" target=\"_blank\">Pentesting del equipo rojo<\/a>.<\/p>\n<p>La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), en un aviso publicado el mes pasado, subray\u00f3 el riesgo de ataques DDoS volum\u00e9tricos contra sitios web y servicios web relacionados, e inst\u00f3 a las organizaciones a implementar mitigaciones adecuadas para reducir la amenaza.<\/p>\n<p>&#8220;Estos ataques se dirigen a sitios web espec\u00edficos con el objetivo de agotar los recursos del sistema objetivo, hacer que el objetivo sea inalcanzable o inaccesible y negar a los usuarios el acceso al servicio&#8221;, se\u00f1ala. <a rel=\"nofollow noopener\" href=\"https:\/\/www.cisa.gov\/news-events\/alerts\/2023\/09\/06\/cisa-releases-capacity-enhancement-guide-strengthen-agency-resilience-ddos-attack\" target=\"_blank\">dicho<\/a>.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/10\/citrix-devices-under-attack-netscaler.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80210 de octubre de 2023\ue804Sala de redacci\u00f3nSeguridad de red\/contrase\u00f1a Los actores de amenazas est\u00e1n aprovechando una falla cr\u00edtica<\/p>\n","protected":false},"author":1,"featured_media":991812,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,1247,4661,5200,27103,109370,4664,42020,5718,36019,2503,4662,4668,201033,175298,4654,201031,4659,4653,4655,18,4666,4665,201032,8081,4660],"class_list":["post-991811","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataque","tag-ataques-ciberneticos","tag-bajo","tag-capturar","tag-citrix","tag-como-hackear","tag-credenciales","tag-dispositivos","tag-explotada","tag-falla","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-netscaler","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-usuario","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/991811","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=991811"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/991811\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/991812"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=991811"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=991811"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=991811"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}