Los piratas informáticos aprovecharon una falla crítica en un producto de Citrix para atacar infraestructura crítica de EE. UU. TechCrunch informó inicialmente del ciberataque, confirmado por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), así como por varias empresas de ciberseguridad.
La falla explotada por piratas informáticos anónimos está asociada con los productos empresariales NetScaler ADC y NetScaler Gateway de Citrix, diseñados para la entrega segura de aplicaciones y servicios VPN.
Un fracaso con un impacto potencialmente devastador
Designada CVE-2023-3519, esta vulnerabilidad tiene una clasificación de gravedad de 9.8, convirtiéndose en un tema crítico. A través de él, los piratas informáticos pudieron ejecutar código arbitrario en dispositivos como usuarios no autenticados.
CISA hizo público que, en junio, detectó la explotación de esta falla contra una organización de infraestructura crítica estadounidense, cuya identidad no fue revelada.
Las consecuencias de un ataque exitoso
Según CISA, los atacantes utilizaron la falla para instalar un webshell en NetScaler ADC, lo que les permitió robar datos confidenciales del Active Directory de la empresa. La buena noticia es que el dispositivo quedó aislado dentro de la red, lo que impidió que los atacantes se movieran lateralmente y causaran aún más daño.
Sin embargo, la publicación advierte que otras organizaciones podrían no correr la misma suerte, ya que aún quedan más de 15 1.000 servidores Citrix en todo el mundo que necesitan parches y, por lo tanto, son vulnerables a esta falla. La mayoría de estos servidores están ubicados en los Estados Unidos (5.700), pero también hay cifras significativas en Alemania (1.500) y en el Reino Unido (1.000).
Citrix afirma no saber quién aprovechó la falla hasta el momento, pero sospecha que están involucrados actores con motivación financiera y patrocinados por el estado. China vuelve a aparecer en las conjeturas. Los investigadores de Mandiant están de acuerdo y argumentan que la actividad es “consistente con operaciones pasadas de actores vinculados a China, basadas en capacidades y acciones conocidas contra los ADC de Citrix en 2022”.