Tras decenas de ataques de ransomware Citrix corrige la brecha de seguridad en sus Gateways

Hace un par de semanas se hizo público que se había detectado una vulnerabilidad en dos gateways de Citrix: Application Delivery Controller y Gateway. Ambos productos, que se comercializan bajo la marca NetScaler, estaban sin protección desde el descubrimiento, que se produjo a mediados de diciembre, debido a que ambas herramientas están basadas en una versión de FreeBSD muy antigua y bastante modificada, por lo que Citrix ha tenido que desarrollar el parche desde cero, lo que ha llevado más tiempo. Pero por suerte para las miles de empresas que utilizan uno de los dos productos, la compañía ya lo tiene listo.

Según Zdnet, la compañía ha lanzado un paquete de actualizaciones de seguridad que soluciona esta grave vulnerabilidad, cuyo origen está en un fallo de seguridad que recorre directorios y que puede explotarse para ejecutar código de forma arbitraria. Está pensado para varias versiones de Citrix Application Delivery Controller (ADC) y Citrix SD-WAN WANOP.

En el paquete van parches para Citrix ADV y Citrix Gateway 12.1 y 13.0. La compañía ha avisado que para aplicarlos, los administradores TI deben asegurarse de que las distribuciones que emplean están actualizadas a las versiones 12.1.55.18 y 13.0.47.24. A principios de la semana pasada la compañía lanzó otro paquete de actualizaciones con parches para otros gateways.

En concreto para Citrix ADC y Citrix Gateway 11.1 y 12.0, y para Citrix SD-WAN 4000-WO, 5000-WO, 4100-WO, y 5100-WO. Todos se pueden descargar de la web de soporte de Citrix y deben aplicarse tan pronto como sea posible, porque ya hay hackers en busca de los servidores afectados para infectar sistemas con ransomware.

Tal como han manifestado desde Zdnet, según varias fuentes de la comunidad de expertos en seguridad informática han avisado de que hay varios grupos de hackers que están utilizando esta vulnerabilidad para acceder a redes corporativas y «secuestrar» sistemas y datos con ransomware.

Según varios investigadores de seguridad de los grupos FireEye y Under the Breach, ya se han confirmado varias infecciones mediante este método. Al parecer, detrás de algunos de ellos está la banda de ransomware Revil, que entre otras compañías ha atacado Gedia.com utilizándola vulnerabilidad de los gateways de Citrix. Revil publicó archivos de la empresa en Internet después de que en Gedia se negasen a pagar lo que les pedían como rescate, tal como han asegurado varios miembros de Under the Breach.

Al parecer, este grupo no es el único que está intentando acceder a redes de empresas explotando esta vulnerabilidad. También hay varias informaciones que apuntan a que la banda de ransomware Maze está también intentando atacar servidores de Citrix, mediante sistemas muy similares a los empleados por Revil.

Posteriormente, desde FireEye han identificado a un tercer grupo que está utilizando la vulnerabilidad para infectar víctimas e instalar en sus redes el ransomware Ragnarok. Por tanto, es importante parchear los gateways de Citrix afectados por la vulnerabilidad cuanto antes.