Header Ads Widget

Ticker

6/recent/ticker-posts

No se preocupe por CurveBall todavía: parchee sus sistemas Citrix

Todas las miradas se centran en la vulnerabilidad CVE-2020-0601 Crypt32.dll promovida por la NSA, para la que no hay ataques activos. Meh. Existe un problema mucho mayor con Citrix Application Delivery Controller y Citrix Gateway. Si tiene algún producto de red Citrix, hágalo reparar AHORA.


¡Hola, administradores! Ha sido una semana emocionante, ¿eh?

La mayoría de ustedes se han visto inundados con solicitudes, demandas, de que parcheen todos sus sistemas de inmediato para protegerlos del agujero de seguridad CVE-2020-0601 Crypt32.dll altamente publicitado, conocido como "Chain Of Fools" o "CurveBall". 

Mientras luchaba por cumplir con la publicidad única de la NSA, instigado por casi todos los expertos en seguridad del planeta, sucedió algo gracioso. No hay hazañas salvajes para el viejo CurveBall. Pero hay muchos, muchos sistemas Citrix ADC y Citrix Gateway bajo ataque , utilizando un agujero de seguridad anunciado en diciembre llamado CVE-2019-19781. 

Es tan malo que @Random_Robbie dijo  en un tweet esta mañana que casi todos los principales escaneos maliciosos detectados esta mañana por GreyNoise.io están tratando de infiltrarse en los sistemas Citrix (anteriormente NetScaler) Gateway.

Según @ 0XDUDE Victor Gevers , hasta la madrugada del lunes, “14.180 [servidores] siguen siendo vulnerables. Hay redes sensibles sin parchear por ahí. Con solo unos pocos voluntarios, estamos tratando de ayudar (de forma remota) a estas organizaciones que están atrasadas o estancadas en el proceso de mitigación ".

William Ballenthin y Josh Madeley de FireEye han descubierto una nueva pieza de malware llamada NOTROBIN que se hace cargo de los sistemas Citrix comprometidos y luego deja una puerta trasera para futuras vulnerabilidades:

Al obtener acceso a un dispositivo NetScaler vulnerable, este actor limpia el malware conocido e implementa NOTROBIN para bloquear los intentos de explotación posteriores. Pero no todo es lo que parece, ya que NOTROBIN mantiene el acceso por la puerta trasera para aquellos que conocen una contraseña secreta. FireEye cree que este actor puede estar recolectando discretamente el acceso a los dispositivos NetScaler para una campaña posterior.

Citrix mismo publicó algunas soluciones manuales el 19 de diciembre, pero no llegó a emitir  soluciones para algunos de sus productos hasta el domingo:


Las correcciones permanentes para las versiones 11.1 y 12.0 de ADC están disponibles como descargas aquí y aquí .

Estas correcciones también se aplican a Citrix ADC y Citrix Gateway Virtual Appliances (VPX) alojados en cualquiera de ESX, Hyper-V, KVM, XenServer, Azure, AWS, GCP o en un Citrix ADC Service Delivery Appliance (SDX). No es necesario actualizar SVM en SDX.

Es necesario actualizar todas las instancias de Citrix ADC y Citrix Gateway 11.1 (MPX o VPX) para compilar 11.1.63.15 para instalar las correcciones de vulnerabilidades de seguridad. Es necesario actualizar todas las instancias de Citrix ADC y Citrix Gateway 12.0 (MPX o VPX) para compilar 12.0.63.13 para instalar las correcciones de vulnerabilidades de seguridad. 

Si está utilizando ADC versión 12.1, 13 o 10.5, o el paquete SW-WAN WANOP, puede esperar hasta el final de esta semana.

Todo esto ha llevado al Centro Nacional de Seguridad Cibernética de los Países Bajos a emitir una recomendación sorprendente :

Si no ha aplicado las medidas de mitigación de Citrix o solo después del 9 de enero de 2020, puede suponer razonablemente que su sistema se ha visto comprometido debido a que los exploits públicos se están dando a conocer. El NCSC recomienda al menos la elaboración de un plan de recuperación como se explica en la sección "Posible compromiso" de este mensaje.

Sí, están diciendo que si está ejecutando alguno de los productos Citrix afectados y no aplicó bloqueos manuales hasta después del 9 de enero, debe asumir que sus sistemas están comprometidos.

Mientras tanto, el cartel wruttscheidt en los foros de discusión de Citrix tiene algunas preguntas puntuales (y sin respuesta) para la administración de Citrix.

Mientras sus usuarios clamaban por una solución a una amenaza inexistente, muchos de ustedes tenían sus redes desconectadas.

Sigo recomendando que posponga la instalación de los parches del martes de parches de enero. Han surgido algunos problemas y todavía es demasiado pronto para saber si hay algo importante al acecho. Ponga su casa Citrix en orden y espere a que fermenten los parches altamente publicitados de este mes.


Publicar un comentario

0 Comentarios