Corrida destrutiva: Citrix lança novos patches, e os hackers estão atacando ativamente servidores vulneráveis e instalando mecanismos de criptografia neles. Parece que os usuários estão perdendo.
No início deste ano foi descoberto CVE-2019-19781 vulnerabilidade, que afeta várias versões do Citrix Application Delivery Controller (ADC), Gateway Citrix, bem como duas versões antigas do Citrix SD-WAN WANOP. Como foi noticiado no início do mês, houve explorações para ele em domínio público.
Após a publicação das façanhas, ataques a versões vulneráveis do Citrix intensificaram-se, assim como era esperado, já que vários hackers esperam comprometer algum objetivo importante que não teve tempo de atualizar – uma rede corporativa, um servidor de estado, ou uma agência governamental.
“O principal problema é que, embora já tenha passado mais de um mês desde que a vulnerabilidade foi descoberta, Os desenvolvedores da Citrix não tinham pressa em lançar o patch”, – Especialistas em SI condenam a empresa.
Primeiramente, empresa limitou-se a apenas recomendações de segurança, explicando aos clientes como reduzir riscos.
Houve até um precedente interessante – um unknown hacker used vulnerable methods to patch vulnerable Citrix servers e, de acordo com analistas de segurança da informação, não porque ele era Robin Hood, suas intenções eram duvidosas.
Desenvolvedores Citrix apresentou um patch real só na semana passada, e não liberou as correções finais até a última sexta-feira.
Os especialistas da Citrix e FireEye também forneceram soluções gratuitas para identificar comprometimentos e sistemas vulneráveis.
Agora FogoEye e Sob a violação analistas estão alertando que operadores criptográficos REvil (Sodinokibi) e Ragnarok estão infectando ativamente servidores Citrix vulneráveis, que ainda são numerosos.
“Examinei os arquivos que REvil postou em Gedia.com depois que eles se recusaram a pagar o ransomware. O interessante que descobri é que eles obviamente hackearam o Gedia por meio do exploit Citrix. Minha aposta é que todos os alvos recentes foram acessados através desta exploração. Isso apenas mostra quanto impacto uma única exploração pode ter. Outros arquivos incluíam faturas, estruturas de dados e um despejo completo das senhas dos servidores. O GDPR vai pegar pesado com esses caras e é exatamente isso que o REvil quer, o incentivo ao ransomware está realmente vivo!”, - escreve Sob o representante da empresa Breach.
Adicionalmente, de acordo com relatos não confirmados, os criadores do ransomware Maze visaram sistemas vulneráveis.
É necessário dizer que no geral o processo de instalação de patches está indo bem. Se em dezembro 2019 o número de sistemas vulneráveis foi estimado em 80,000 servidores, então, em meados de janeiro, seu número caiu para cerca 25,000, e na semana passada caiu abaixo 11,000 sistemas completamente. Especialistas da Fundação GDI monitorar de perto essas estatísticas.