13 días es el tiempo que le tomó a Xfinity corregir la falla de Citrix Bleed. Un período durante el cual los ciberdelincuentes tuvieron tiempo de recopilar la mayor cantidad de datos confidenciales posible. La actividad de cable del operador estadounidense Comcast ha alertado sobre una violación de datos, que según la notificación afectaría a aproximadamente 36 millones de clientes. Tras la investigación, la información robada incluía nombres de usuarios y contraseñas. Para algunos suscriptores, otra información se ve afectada, como nombres, información de contacto, fechas de nacimiento, partes de los números de seguro social y respuestas a preguntas secretas de seguridad.

Índice
  1. Vulnerabilidades de NetScaler
  2. Protección contra el sangrado de Citrix

Vulnerabilidades de NetScaler

Citrix exigió anteriormente a los clientes de NetScaler ADC y NetScaler Gateway que instalaran versiones actualizadas de productos de red para evitar la explotación de las vulnerabilidades. Desarrolladas por Citrix, las herramientas NetScaler ADC (Application Delivery Controller) y NetScaler Gateway están destinadas a mejorar el rendimiento, la seguridad y la disponibilidad de aplicaciones y servicios de red. El 10 de octubre, Citrix reveló vulnerabilidades en estos productos, con referencias CVE-2023-4966 y CVE-2023-4967, que describe como problemas de "búfer no autenticado". Con una puntuación CVSS de 9,4, por lo tanto altamente crítica, CVE-2023-4966 está vinculada a la divulgación de información crítica, lo que indica su cierta gravedad. AssetNote, una empresa de ciberseguridad especializada en detectar y gestionar riesgos de seguridad en aplicaciones web y activos digitales, ha publicado una prueba de concepto (POC) para la violación de Citrix Bleed en GitHub.

Según Neil Jones, director de ciberseguridad de Egnyte, la falla fue particularmente efectiva porque anteriormente fue explotada para implementar el ransomware LockBit 3.0. "La gran huella de implementación de NetScaler combinada con el potencial de ataque del ransomware lo convierte en un cóctel perfecto desde la perspectiva de la ciberinfección", añadió. Citrix solicita a los usuarios que actualicen sus dispositivos para resolver problemas de seguridad. La empresa también especifica que la versión 12.1 de estos productos ya no es compatible. Por lo tanto, Citrix recomienda que sus clientes actualicen a versiones más recientes que no se vean afectadas por estos problemas de seguridad.

Citrix es una herramienta popular para sesiones de escritorio remoto o entrega de aplicaciones. "Algunas empresas exponen sus servidores Citrix Metaframe a Internet para acceso remoto porque es una solución barata", señaló Andrew Barratt, vicepresidente del proveedor de seguridad Coalfire. "Con el tiempo, Citrix ha mejorado su conjunto de tecnologías y Netscaler es ciertamente un producto de defensa, pero todavía está en el borde del perímetro, lo que significa que dondequiera que se implemente, probablemente esté directamente expuesto a Internet", añadió. "Sin embargo, a diferencia de los servidores Metaframe más antiguos, está exactamente donde se supone que debe estar, lo que lo convierte en un objetivo principal para los intrusos".

Protección contra el sangrado de Citrix

"Vulnerabilidades similares a Citrix Bleed aparecen regularmente, pero el verdadero problema surge cuando los parches se lanzan y no se aplican rápidamente, dejando los sistemas vulnerables por más tiempo del necesario", dijo Josh Amishav, fundador de Breachdefense. "Para protegerse contra este tipo de infracciones, es esencial que las personas y las empresas actualicen y parcheen periódicamente el software y los sistemas", añadió. Monitorear las redes en busca de actividades inusuales puede ayudar a detectar infracciones tempranamente. La implementación de métodos robustos de autenticación multifactor agrega una capa adicional de seguridad. “También es muy importante formar a los empleados en las mejores prácticas en ciberseguridad”, afirmó el directivo. El uso de contraseñas seguras, preferiblemente generadas y almacenadas en una bóveda de contraseñas, añade seguridad.

Además, escanear continuamente la web oscura en busca de fugas de datos o credenciales de la empresa puede proporcionar advertencias tempranas sobre posibles infracciones. "Los usuarios de Xfinity deben seguir monitoreando de cerca la situación y considerar cambiar sus nombres de usuario y contraseñas lo antes posible", recomienda Neil Jones. "Como la probabilidad de ataques cibernéticos es mayor durante la temporada navideña, también se recomienda a los usuarios que cambien sus contraseñas de Xfinity WiFi, especialmente si no las han cambiado recientemente".