Posibles fallas críticas en servidores Citrix vulnerables, sin parches actualizados

falla en servidores citrix

Se han identificado dos vulnerabilidades de seguridad de importancia crítica en plataformas Citrix, se liberaron las actualizaciones para solucionar este hueco de seguridad, pero en los últimos meses siguen siendo vulnerables en miles de puertas de enlace Citrix y ADC (Citrix Application Delivery Controller) que se utilizan en toda la empresa. Estas fallas críticas en servidores Citrix se han identificado ya con los siguientes CVE´s:

  • CVE-2022-27510: Se identifica como una falla de acceso no autorizado a las capacidades del usuario de Gateway y afecta a productos Citrix. Por lo que un usuario malintencionado puede explotar esta vulnerabilidad para obtener acceso no autorizado al dispositivo, ejecutar una adquisición de escritorio remoto e intentar eludir las medidas de seguridad de inicio de sesión.
  • CVE-2022-27518: Se identifica como una falla de ejecución remota de código arbitrario no autenticado. Por lo que los atacantes pueden ejecutar comandos remotos en dispositivos vulnerables para controlarlos sin necesidad de autenticarse.

En un escaneo realizado por analistas de TI, se encontraron más de 28 000 servidores Citrix activos en Internet.

Los investigadores tuvieron que aprender el número de versión de cada uno de los expuestos que no se proporcionó en la respuesta HTTP de los servidores, para determinar cuántos eran vulnerables a estas dos fallas.

Tan pronto como Citrix publicó una actualización de seguridad para corregir CVE2022-27518, se descubrió que los actores de amenazas estaban explotando activamente esta vulnerabilidad, por lo cual se recomendó instalar las actualizaciones de seguridad proporcionadas por Citrix.

Recomendación 

La solución Tanium que está disponible en el portafolio de Nova es una de las soluciones que ofrece en su módulo Patch la posibilidad de simplificar y acelerar la gestión y el cumplimiento de parches.

Con Tanium Patch, los equipos de operaciones de TI pueden mantener los sistemas actualizados con parches automatizados en toda la empresa, a gran velocidad y escala. Esto ayuda a las organizaciones a reducir la complejidad y aumentar la resiliencia empresarial.

Tanium Patch nos ofrece opciones para accionar con las fallas críticas en servidores Citrix:

  • Mitigar el riesgo, mantener el cumplimiento y reducir las interrupciones. 
  • Para evitar brechas de seguridad, mantenga los endpoints actualizados con los parches más recientes.
  • Reducir los gastos generales y la complejidad
  • Parche a escala con poca o ninguna infraestructura y un tiempo de inactividad mínimo.
  • Parche con confianza
  • Mida la higiene cibernética con tasas de éxito de parches en tiempo real en toda la organización.
  • Te invitamos a seguir las redes sociales de Nova InstagramFacebook y LinkedIn para que estes enterado de ésta y más noticias y poder ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.

MediaMarkt sufre un ataque de ransomware que ha encriptado la mayoría de sus servidores, a pocos días del Black Friday

ransomware

MediaMarkt ha sufrido un ataque de ransomware que ha encriptado la mayoría de la información, este ataque afecto a más de 3.000 de sus servidores en toda Europa se trata de servidores internos, por eso las webs siguen funcionando, pero los empleados no pueden usar los ordenadores, así que solo pueden vender lo que tienen en las tiendas físicas en este momento, los sistemas de cobro también fueron afectados, además de los servicios de recogida y devolución. Según una investigación de RTL News, el ataque fue llevado a cabo por Hive, un grupo de piratería que a menudo ataca a grandes empresas e incluso a hospitales. La pandilla también atacó anteriormente en los Países Bajos.

Hive es un grupo de piratería bastante nuevo. Después de un ataque a la compañía de software Altus el verano pasado, el grupo entró en escena por primera vez. Los piratas informáticos filtraron datos de la empresa porque se negaron a pagar el rescate de sus archivos cifrados.

Desde entonces, los servicios de investigación han tenido a Hive en la mira. El grupo de piratas informáticos ataca a las empresas, toma archivos como rehenes e inutiliza sus sistemas informáticos. El grupo es conocido por ser minucioso y también por eliminar copias de seguridad de las computadoras de las víctimas para que no se puedan restaurar fácilmente.

No todos los grupos de piratería atacan las empresas críticas de esta forma. Algunos grupos no se centran explícitamente en empresas de la infraestructura crítica, como empresas eléctricas, hospitales o instituciones educativas.

Hive no hace esta distinción y ha lanzado con éxito ataques contra tales objetivos. En agosto, por ejemplo, Hive tomó como rehenes los sistemas hospitalarios en los EE. UU. Como resultado, los procedimientos quirúrgicos y los exámenes radiológicos no pudieron continuar.

Intrusión a través de correos electrónicos de phishing

Según el FBI, que emitió una advertencia sobre el grupo en agosto, los piratas informáticos están enviando correos electrónicos de phishing a empresas, que incluyen archivos infectados. En los correos electrónicos, Hive a menudo pretende ser otra empresa. Si un empleado se topa con el correo de Hive y descarga el archivo infectado, el grupo puede acceder a la red de la empresa.

El grupo también está intentando acceder a través de un sistema que permite controlar sistemas informáticos remotos, el denominado Protocolo de Escritorio Remoto (RDP).

Hackers con su propio servicio de asistencia técnica

Hive es una pandilla profesional y ha creado sitios web para comunicarse con las víctimas. Estos sitios están en la Deep web, la parte obscura de Internet.

Una vez que el grupo de piratería ha atacado a una empresa, deja archivos en las computadoras cifradas. Estos archivos contienen detalles de inicio de sesión que permiten a las víctimas ponerse en contacto con los piratas informáticos en su sitio en la Deep web.

Luego, el rescate se negocia a través de una sección especial de ese sitio.

Recomendación

Tanium, la plataforma en la que las organizaciones confían para obtener visibilidad y control en todos sus endpoints anunció el 9 de noviembre una asociación con Deep Instinct, la primera empresa en aplicar el end-to-end deep learning a la ciberseguridad. La colaboración ofrece a las organizaciones de todo el mundo la capacidad de evolucionar y escalar la seguridad de los endpoints para satisfacer las necesidades de las empresas, mejorando la prevención de malware desconocido antes de que se ejecute e infecte endpoints y entornos de TI. Juntos, Tanium y Deep Instinct garantizan que las organizaciones tengan una cobertura completa de endpoints al tiempo que fortalecen su postura de seguridad general.

Acerca de Deep Instinct

Deep Instinct adopta un enfoque que prioriza la prevención para detener el ransomware y otro malware utilizando el primer y único marco de ciberseguridad de deep learning diseñado específicamente para este fin. Predice y previene amenazas conocidas, desconocidas y de día cero en menos de 20 milisegundos, 750 veces más rápido de lo que puede cifrar el ransomware más rápido. Deep Instinct tiene una precisión de día cero> 99% y promete una tasa de falsos positivos <0.1%. La plataforma de prevención Deep Instinct es una adición esencial a todas las pilas de seguridad, ya que proporciona una protección completa de múltiples capas contra amenazas en entornos híbridos.

“El ransomware es único entre los delitos cibernéticos porque para que el ataque sea exitoso, requiere que la víctima se convierta en cómplice voluntaria después del hecho”

– James Scott

No olvides seguirnos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

Consulta la fuente de este artículo aquí.

#NovaInforma