Recentemente, no domínio público apareceram explorações para a vulnerabilidade crítica CVE-2019-19781, encontrado anteriormente no Citrix Application Delivery Controller (NetScaler ADC) e Citrix Gateway (Gateway NetScaler). Agora foi relatado que um hacker desconhecido acessa servidores Citrix vulneráveis e os corrige.
Lembre-se que de acordo com especialistas, este problema ameaça 80,000 empresas em 158 países e permite que hackers apreendam dispositivos.
Em quase todos os casos, Os aplicativos Citrix estão disponíveis no perímetro da rede de uma empresa, o que significa que eles são mais propensos a ataques. Por isso, a vulnerabilidade permite que um invasor externo não autorizado não apenas obtenha acesso a aplicativos publicados, mas também realizando ataques do servidor Citrix a outros recursos da rede interna da empresa vítima”, – relatam especialistas da Positive Technologies.
O bug é tão grave que é considerado um dos erros mais perigosos descobertos nos últimos anos.
O principal problema é que já se passou mais de um mês desde que a vulnerabilidade foi descoberta, mas os desenvolvedores da Citrix não tinham pressa em lançar o patch. Inicialmente, a empresa limitou-se a apenas recomendações de segurança, explicando aos clientes como reduzir riscos, e a correção real apareceu só em janeiro 19, 2020.
Após a publicação das façanhas, ataques a versões vulneráveis do Citrix intensificaram-se, apenas era esperado, já que muitos hackers esperam comprometer algum objetivo importante – uma rede corporativa, um servidor de estado, ou uma agência governamental.
Especialistas FireEye avisou que pelo menos um dos muitos invasores está trabalhando no Tor e exibe um comportamento estranho: ele implanta carga útil NotRobin em servidores hackeados.
NotRobin tem dois objetivos principais. Primeiramente, serve como backdoor para um dispositivo Citrix hackeado. Em segundo lugar, é uma espécie de antivírus, remover outro malware encontrado no sistema e, assim, evitar deixar carga útil neste host. Nenhum malware adicional foi instalado nos servidores infectados além do NotRobin”, – dizem os analistas da FireEye.
Os pesquisadores da FireEye duvidam que algum tipo de samaritano esteja por trás desses ataques. Em seu relatório, eles escrevem que o hacker, provavelmente, coleta apenas acesso a dispositivos vulneráveis, “limpa-os” e se prepara para a próxima campanha
Como ao mesmo tempo image of Greta Tunberg helps other hackers penetrar na rede, não está claro o que ou quem é mais cínico e perigoso.