El equipo de investigación cibernética de At-Bay, ha lanzado un reporte en donde se cree que la banda, Royal Ransomware, está explotando, de manera activa, la falla de seguridad crítica de los sistemas de Citrix ADC.
Como se señala en la publicación realizada el día de hoy, la empresa At-Bay tiene las sospechas iniciales para creer que el grupo de ransomware, Royal, está explotando activamente una falla de seguridad crítica que afecta a los sistemas Citrix ADC, según su equipo de investigación. La vulnerabilidad Anunciada por Citrix el 8 de noviembre de 2022, identificada como CVE-2022-27510, el cual permite la posible omisión de las medidas de autenticación en dos productos de Citrix, las cuales son: Application Delivery Controller (ADC) y Gateway.
Según la públicación, no hubo casos conocidos de que la vulnerabilidad estuviese siendo explotada en el momento de la divulgación. Sin embargo, a partir de la primera semana de 2023, los investigadores afirmaron que la nueva información sugiere que el grupo de ransomware, Royal, se encentraría explotando activamente dicha vulnerabilidad.
Tan pronto como se publicó la vulnerabilidad de Citrix, el equipo de investigación cibernética de At-Bay comenzó a evaluar la magnitud del riesgo e identificar las empresas que podrían estar expuestas, escribió Adi Dror, analista de datos cibernéticos de At-Bay, en un informe.
«Los datos de nuestros escaneos, la información obtenida de los datos de reclamos y otra inteligencia recopilada por nuestro equipo de investigación cibernética apuntan a la vulnerabilidad de Citrix CVE-2022-27510 como el punto inicial de acceso utilizado por el grupo de ransomware Royal para lanzar un reciente ataque de ransomware«, agregó.
«El método de explotación de la vulnerabilidad de Citrix por parte del grupo de ransomware, está en línea con la explotación de vulnerabilidades similares vistas en el pasado«, continuó Dror. Parece que Royal está explotando esta vulnerabilidad de omisión de autenticación en los productos Citrix para obtener acceso no autorizado a dispositivos con Citrix ADC o Citrix Gateway, y de allí, lanzar sus ataques.
«La explotación de vulnerabilidades en los servidores es uno de los vectores de ataque más comunes para los grupos de ransomware, especialmente los servidores de infraestructura crítica como los proporcionados por Citrix. Sin embargo, lo que distingue a esta instancia es que el grupo de ransomware está utilizando la vulnerabilidad de Citrix antes de que haya un exploit público«, dijo.
Se insta a las empresas que utilizan cualquiera de los productos Citrix afectados a que apliquen parches al software vulnerable y sigan los métodos de mitigación recomendados por Citrix. «Incluso para los clientes que no han recibido una alerta de seguridad, es importante que verifiquen si están ejecutando productos vulnerables y parcheen de inmediato«, afirmó Dror.
Alerta Temprana de Riesgos Cibernéticos
Gestión de la Superficie de Ataque
Cyber Threat Intelligence
