Las amenazas emergentes representan un desafío constante para las organizaciones de todos los tamaños. Recientemente, Citrix, un líder en soluciones de redes y espacios de trabajo digitales, ha emitido una advertencia sobre la explotación activa de vulnerabilidades zero-day en su producto NetScaler.
Antes de profundizar en el incidente específico de Citrix, es crucial entender qué es un ataque zero-day. En el mundo de la ciberseguridad, un "zero-day" se refiere a una vulnerabilidad desconocida para aquellos que estarían interesados en mitigarla, como el fabricante del software. El término "zero-day" alude al hecho de que los desarrolladores tienen "cero días" para arreglar el problema, ya que el agujero ya está siendo explotado activamente cuando se descubre.
Conoce más sobre: Detección de Ataques Zero-Day con Wazuh
Citrix ha emitido una urgente recomendación a sus clientes el martes para que procedan inmediatamente a aplicar parches en línea a los dispositivos Netscaler ADC y Gateway que están expuestos en la web. Estos dispositivos se encuentran en riesgo debido a dos vulnerabilidades de día cero que están siendo activamente explotadas.
Estas dos vulnerabilidades, identificadas como CVE-2023-6548 y CVE-2023-6549, afectan a la interfaz de administración de Netscaler. Como consecuencia, los dispositivos Netscaler que no han sido parcheados se exponen a dos tipos de ataques: ejecución remota de código y ataques de denegación de servicio.
Es importante destacar que para lograr la ejecución de código, los atacantes deben primero iniciar sesión en cuentas con privilegios limitados en la instancia objetivo y luego obtener acceso a NSIP, CLIP o SNIP con acceso a la interfaz de administración. Además, los dispositivos deben estar configurados como una puerta de enlace (como servidor virtual VPN, proxy ICA, CVPN o proxy RDP) o como un servidor virtual AAA para ser vulnerables a los ataques de denegación de servicio (DoS).
Citrix ha aclarado que solo los dispositivos Netscaler administrados directamente por los clientes se ven afectados por estas vulnerabilidades de día cero. Los servicios en la nube gestionados por Citrix y la autenticación adaptativa también administrada por Citrix no se ven afectados.
La lista de versiones de productos Netscaler que se ven afectadas por estas dos vulnerabilidades de día cero incluye:
- NetScaler ADC y NetScaler Gateway 14.1 anteriores a la versión 14.1-12.35.
- NetScaler ADC y NetScaler Gateway 13.1 anteriores a la versión 13.1-51.15.
- NetScaler ADC y NetScaler Gateway 13.0 anteriores a la versión 13.0-92.21.
- NetScaler ADC 13.1-FIPS anterior a la versión 13.1-37.176.
- NetScaler ADC 12.1-FIPS anterior a la versión 12.1-55.302.
- NetScaler ADC 12.1-NDcPP anterior a la versión 12.1-55.302.
Según los datos proporcionados por una plataforma de monitoreo de amenazas, en la actualidad existen poco más de 1.500 interfaces de administración de Netscaler expuestas en Internet, lo que aumenta la importancia de aplicar los parches de seguridad de inmediato.
Te podrá interesar leer: ¿Tu software está al día?: Importancia de los Parches
Interfaces de gestión de Netscaler accesibles a través de Internet
En un comunicado de seguridad difundido, Citrix hizo un llamado urgente a todos los administradores para que apliquen de inmediato las actualizaciones de seguridad en sus dispositivos Netscaler con el fin de protegerse contra dos vulnerabilidades de día cero y prevenir posibles ataques.
La empresa advirtió sobre la explotación activa de estas vulnerabilidades identificadas como CVE, en dispositivos que no han sido protegidos con las debidas medidas. En sus palabras, "Se han detectado casos de explotación de estos CVE en dispositivos no parcheados", y por lo tanto, insta a los clientes afectados de NetScaler ADC y NetScaler Gateway a instalar las versiones actualizadas correspondientes lo más pronto posible.
A aquellos que aún utilizan versiones anteriores del software NetScaler ADC y NetScaler Gateway que han llegado al final de su ciclo de vida útil (EOL), se les aconseja encarecidamente que realicen la actualización a una versión que aún reciba soporte.
Para los administradores que no puedan aplicar de inmediato las actualizaciones de seguridad, se recomienda bloquear el tráfico de red hacia las instancias afectadas y asegurarse de que no estén accesibles desde Internet. Citrix subraya la importancia de aislar la interfaz de administración del dispositivo de la red normal, ya sea de forma física o lógica, siguiendo las pautas de implementación segura. Esto reduce significativamente el riesgo de explotación de estas vulnerabilidades.
Además de estas dos vulnerabilidades, se menciona otra falla crítica de Netscaler, CVE-2023-4966 (posteriormente conocida como Citrix Bleed), que fue parcheada en octubre y también fue objeto de ataques de día cero desde agosto por parte de varios grupos de amenazas que buscaron comprometer redes de organizaciones gubernamentales y destacadas empresas tecnológicas a nivel mundial, incluyendo a Boeing.
El equipo de seguridad del Departamento de Salud y Servicios Humanos (HHS) y el Centro de Coordinación de Ciberseguridad del Sector de la Salud (HC3) emitieron una alerta para todo el sector, instando a las organizaciones de salud a tomar medidas para proteger sus instancias de NetScaler ADC y NetScaler Gateway debido al creciente riesgo de ataques de ransomware.
Te podrá interesar leer: ¿Cómo Priorizar los Parches de Software Eficazmente?
Este incidente subraya la importancia de una serie de mejores prácticas en ciberseguridad:
Actualización Regular de Software: Mantener el software actualizado con los últimos parches de seguridad es crucial para protegerse contra vulnerabilidades conocidas.
Monitoreo Continuo: Las organizaciones deben monitorear constantemente sus sistemas para detectar signos de actividad inusual, lo que puede indicar una brecha de seguridad.
Respuesta Rápida a Incidentes: Tener un plan de respuesta a incidentes cibernéticos puede ayudar a mitigar rápidamente los daños en caso de una brecha.
Educación y Concienciación: La formación continua en ciberseguridad para el personal puede reducir el riesgo de ataques exitosos.
Conoce más sobre: Monitoreo Continuo: Clave para una Ciberseguridad Eficaz
El incidente de Citrix NetScaler sirve como un recordatorio crítico de la naturaleza siempre presente y en evolución de las amenazas cibernéticas. Las organizaciones deben permanecer vigilantes, adoptar prácticas recomendadas de ciberseguridad y responder rápidamente a las advertencias de seguridad para protegerse contra estos ataques sofisticados. A medida que continuamos navegando por un mundo digital cada vez más complejo, la colaboración y el compromiso con la ciberseguridad se vuelven más esenciales que nunca.