Citrix NetScaler: Cierre todas las sesiones activas para protección contra una vulnerabilidad, según Mandiant

-

Mandiant Consulting aconsejó a los equipos de seguridad que aplicar solo el parche lanzado para solucionar una reciente vulnerabilidad de Citrix NetScaler ADC y Gateway no era suficiente; necesitan cerrar todas las sesiones activas para asegurarse de que el código vulnerable no esté residente en la memoria.

La vulnerabilidad, CVE-2023-4966, calificada como crítica 9.4 por Citrix, permite a los atacantes robar el token de usuarios conectados recientemente, lo que les permite al atacante acceder a los recursos a los que el usuario tiene permisos de acceso en Citrix.

Una vez que esto ocurre, Mandiant, ahora parte de Google, ha observado que los actores de amenazas pueden realizar recolección de credenciales, moverse lateralmente en la red de la víctima a través del protocolo de escritorio remoto (RDP) y llevar a cabo reconocimiento del entorno de la víctima. Mandiant también dijo que está investigando intrusiones en múltiples sectores, incluidos servicios legales y profesionales, tecnología y organizaciones gubernamentales en las Américas, Europa, Medio Oriente y África, así como las regiones de Asia Pacífico y Japón.

"La gran mayoría de organizaciones que aplicaron el parche temprano y cerraron las sesiones estarán bien", dijo Charles Carmakal, director de tecnología de Mandiant Consulting. "Sin embargo, ciertas organizaciones fueron atacadas cuando esto era un día cero. Si bien no sabemos la motivación de la actividad de intrusión del día cero, estamos evaluando si está relacionada con intenciones de espionaje. Por lo tanto, las organizaciones que normalmente están preocupadas por el espionaje deberían analizar esto más detenidamente".

En una publicación de blog del 31 de octubre, Mandiant describió las siguientes técnicas para que los equipos de seguridad consideren identificar la posible explotación de CVE-2023-4966 y secuestro de sesiones:

  • Investigar las solicitudes al punto final HTTP/S vulnerable desde un WAF.
  • Identificar patrones de inicio de sesión sospechosos basados en los registros de NetScaler.
  • Identificar claves de registro de agente de escritorio virtual sospechosas.
  • Realizar análisis de archivos de volcado de memoria.
Callie Guenther, gerente senior de investigación de amenazas cibernéticas en Critical Start, estuvo de acuerdo con Mandiant en que el lanzamiento de un parche por Citrix es solo el comienzo de la respuesta requerida. Aquí hay algunas recomendaciones de Guenther para los equipos de seguridad:

  • Monitoreo y análisis mejorados: Dado que la explotación de esta vulnerabilidad deja pruebas forenses limitadas, es crucial que los equipos de seguridad mejoren sus capacidades de monitoreo. Esto implica analizar registros de firewalls de aplicaciones web (WAF) y otros dispositivos de red que podrían haber registrado solicitudes HTTP/S dirigidas a los dispositivos Citrix vulnerables.
  • Revisión de registros históricos: Los equipos de seguridad deben revisar los registros históricos en busca de evidencia de explotación. Esto incluye investigar discrepancias en direcciones IP de origen e identificar cualquier sesión de usuario múltiple desde una sola dirección IP que podría sugerir un acceso malintencionado.
  • Análisis de registro en Citrix Virtual Delivery Agent (VDA): En los sistemas Windows donde se ejecuta Citrix VDA, el registro contiene información que podría utilizarse para rastrear accesos no autorizados. Los equipos de seguridad deben correlacionar estos valores con las entradas de ns.log para señalar actividades sospechosas.
  • Análisis de volcado de núcleo de memoria: Para los dispositivos que podrían haber sido comprometidos, el análisis de volcado de núcleo de memoria es crucial. Los equipos de seguridad deben buscar anomalías en la memoria, como cadenas inusualmente largas que indiquen intentos de explotar la vulnerabilidad.
  • Detección post-explotación: Después de aplicar el parche, estar atento a signos de actividades posteriores a la explotación. Esto incluye reconocimiento de red, recolección de credenciales, movimiento lateral y el uso de herramientas como Mimikatz.
  • Parcheo: Si bien el parche es esencial, no es la solución definitiva. Los equipos de seguridad deben asegurarse de que el parche se aplique correctamente y de que todos los sistemas estén actualizados.
  • Caza proactiva de amenazas: Dado que el registro puede no capturar todas las instancias de explotación, la caza proactiva de amenazas es necesaria. Esto implica buscar indicadores de compromiso y patrones de comportamiento sospechoso que puedan indicar una violación.
  • Análisis de atribución: Si bien la atribución puede no prevenir ataques futuros, comprender las tácticas y técnicas de los atacantes puede ayudar a adaptar las defensas contra ellos.

Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó un LLM, al ser una traducción automática puede contener errores gramaticales o de otro tipo, me pueden enviar un mensaje.

Comentarios

Publicar un comentario

Entradas más populares de este blog

Falsos sitios de DocuSign y Gitcode propagan NetSupport RAT mediante ataque PowerShell en múltiples etapas

-
Imagen
Cazadores de amenazas están alertando sobre una nueva campaña que utiliza sitios web falsos para engañar a usuarios desprevenidos y hacer que ejecuten scripts maliciosos de PowerShell en sus máquinas, infectándolas con el malware NetSupport RAT. El equipo de Investigaciones de DomainTools (DTI) informó que identificó “scripts PowerShell maliciosos en múltiples etapas” alojados en sitios trampa que se hacen pasar por Gitcode y DocuSign. “Estos sitios intentan engañar a los usuarios para que copien y ejecuten un script inicial de PowerShell desde el comando ‘Ejecutar’ de Windows”, indicó la empresa en un informe técnico compartido con The Hacker News. “Al hacerlo, el script de PowerShell descarga otro script que actúa como descargador y lo ejecuta en el sistema, lo que a su vez recupera cargas útiles adicionales y las ejecuta, instalando finalmente NetSupport RAT en las máquinas infectadas.” Ciberseguridad Se cree que estos sitios falsos se propagan mediante tácticas de ingeniería so...
Leer más

Microsoft Reemplaza Aplicación de Escritorio Remoto por Windows App: Implicaciones en Ciberseguridad

-
Imagen
Microsoft ha anunciado que, a partir del 27 de mayo de 2025, la aplicación Remote Desktop disponible en la Microsoft Store dejará de ser compatible y será reemplazada por la nueva Windows App. Esta transición busca unificar y mejorar las experiencias de escritorio remoto en sus plataformas, pero también plantea consideraciones importantes en términos de ciberseguridad. ​   Mejoras en Seguridad con Windows App La Windows App, lanzada en septiembre de 2024, ofrece varias mejoras significativas en comparación con la antigua aplicación de Escritorio Remoto:​ Acceso Unificado y Seguro : Proporciona acceso consolidado a múltiples servicios de Windows, incluyendo Windows 365, Azure Virtual Desktop y Microsoft Dev Box, desde una interfaz simplificada. Esta unificación reduce la superficie de ataque al centralizar los puntos de acceso. ​ Soporte Multimonitor y Resoluciones Dinámicas : Facilita una experiencia más fluida y adaptable, permitiendo a los usuarios trabajar de manera más efi...
Leer más

El FBI advierte sobre suplantación de correo electrónico por parte del actor de amenazas norcoreano Kimsuky

-
Imagen
El actor de amenazas norcoreano Kimsuky está aprovechando nuevas tácticas de suplantación de correo electrónico en sus recientes campañas de spearphishing, advirtieron conjuntamente el Buró Federal de Investigaciones (FBI), el Departamento de Estado de EE. UU. y la Agencia de Seguridad Nacional (NSA) el jueves en un aviso conjunto . Kimsuky, también conocido como Emerald Sleet o APT43, es una subunidad de la Oficina General de Reconocimiento (RGB) del ejército norcoreano y es conocido por sus campañas de spearphishing destinadas a recopilar inteligencia sobre asuntos que afectan los intereses norcoreanos. Esto incluye información sobre eventos geopolíticos y las estrategias de política exterior de los adversarios de Corea del Norte. El modus operandi del grupo es hacerse pasar por periodistas legítimos, grupos de expertos, académicos y otros expertos en asuntos del este asiático, convenciendo a las víctimas de abrir enlaces o documentos maliciosos bajo el pretexto de ofrecer una entrev...
Leer más