Finalmente, Citrix ha liberado la actualización para mitigar la vulnerabilidad crítica, asignada al código CVE-2019-19781, que fue publicada a principios de este mes. Desde entonces, dado el lapso de tiempo transcurrido, puede estimarse en cientos el número de dispositivos expuestos a internet que han sido vulnerados aprovechando este fallo.
La vulnerabilidad en cuestión, se corresponde con un ataque de directorio transversal que permitía a un atacante ejecutar de forma remota código arbitrario en varias versiones de los productos ADC y Gateway de Citrix, así como en versiones antiguas de Citrix SD-WAN WANOP.
Está valorada como crítica, con una puntuación de 9.8 y fue descubierta por el investigador Mikhail Klyuchnikov, trabajador de la empresa Positive Technologies, quien reportó de manera ética la incidencia siguiendo el procedimiento de publicación responsable aplicable en estos casos.
El lapso de tiempo transcurrido desde la detección del fallo hasta implementar una solución, ha permitido que, al menos durante la última semana, la vulnerabilidad haya sido aprovechada por docenas de grupos, tras la publicación del exploit que permitía automatizar la ejecución de código arbitrario en los objetivos vulnerables.
Consta, además, que la vulnerabilidad ha sido aprovechada para la instalación de malware con vistas a una posible campaña posterior. Identificado como «NOTROBIN», el software malicioso se encargaba de eliminar miners y otro tipo de malware propiedad de otros hipotéticos atacantes, con la intención de mantener acceso exclusivo a las máquinas comprometidas. Puede encontrarse la investigación de Fireye al respecto, desglosada con notable detalle en este enlace.
La mitigación de la vulnerabilidad pasa, como es de esperar , por actualizar inmediatamente todos los productos afectados por CVE-2019-19781, cuyas versiones pueden consultarse en esta lista.
Referencias:
https://nvd.nist.gov/vuln/detail/CVE-2019-19781
https://www.exploit-db.com/exploits/47913
Deja una respuesta