Desde Fox-It (de NCC Group) han lanzado una investigación para intentar conocer el número de servidores públicos que son actualmente vulnerables a los últimos CVE (CVE-2022-27510 y CVE-2022-27518). Esta investigación da como resultado que, aunque hay gran parte de los servidores actualizados, aún quedan miles de servidores Citrix que actualmente podrían ser vulnerables a estos fallos críticos.
Análisis de las versiones
En una primera fase de esta investigación se encontraron con que muchos de los servidores no respondían con la versión que utilizaban, aunque posteriormente se dieron cuenta de que en la respuesta se encontraba un hash en un parámetro GET «v», por lo que comparándolo con los hashes de cada versión podrían determinar la utilizada.
En la próxima captura veremos un ejemplo del repositorio de Github el cual han subido todas las muestras de hashes junto a las versiones de software.
Fuente: https://blog.fox-it.com/2022/12/28/cve-2022-27510-cve-2022-27518-measuring-citrix-adc-gateway-version-adoption-on-the-internet/
Comparativa de versiones vulnerables o actualizadas
Una vez pudieron determinar que hash correspondía a una determinada versión pudieron analizar los servidores Citrix ADC y Gateway disponibles públicamente para así tener una visión aproximada de como se encuentran actualmente estos servidores.
En el siguiente gráfico podemos ver las 20 primeras versiones encontradas activas en internet.
Fuente: https://blog.fox-it.com/2022/12/28/cve-2022-27510-cve-2022-27518-measuring-citrix-adc-gateway-version-adoption-on-the-internet/
En este gráfico podemos observar que la mayoría de los servidores que se encuentran actualmente públicos contienen la versión «13.0.88.14» la cual no es vulnerable a ninguno de estos CVE.
Sin embargo, le sigue en la segunda posición los que contienen la versión «12.1-65.21» que no es vulnerable al CVE-2022-27510 pero si al CVE-2022-27518. Esto nos ayuda a determinar que miles de servidores Citrix se encuentran actualmente sin actualizar y posiblemente vulnerables a algunos de estos CVE críticos.
En la siguiente gráfica podemos observar una división por países que nos muestra cuantos servidores aproximadamente hay actualizados y cuantos podrían ser vulnerables a algunas de estas vulnerabilidades.
Fuente: https://blog.fox-it.com/2022/12/28/cve-2022-27510-cve-2022-27518-measuring-citrix-adc-gateway-version-adoption-on-the-internet/
Conclusiones
Podemos concluir, revisando esta investigación, que por lo general bien sea por dependencia o desconocimiento, suele haber más de la mitad de los servidores públicos sin actualizar sus versiones, lo que podría conllevar en este caso a una brecha de seguridad importante para la compañía que lo utilice.
Desde Hispasec queremos alertar de este hecho basándonos en la investigación realizada por Fox-It y experiencia personal para incentivar a las empresas a que mantengan actualizados sus sistemas, principalmente cuando estos contienen vulnerabilidades conocidas y, para conseguirlo, es necesario estar al día de las noticias de ciberseguridad actuales.
Deja una respuesta