De acuerdo con las últimas investigaciones, los hackers están explotando a gran escala una vulnerabilidad crítica en los sistemas NetScaler de Citrix, con campañas dirigidas a importantes organizaciones de todo el mundo, como Boeing, el Banco Industrial y Comercial de China (ICBC) y el mega operador portuario DP World. La vulnerabilidad, identificada oficialmente como CVE-2023-4966 y apodada “CitrixBleed”, sigue sin ser mitigada por miles de organizaciones, según informa TechCrunch.

Citrix reveló la vulnerabilidad el mes pasado e informó que afecta a las versiones locales de sus plataformas NetScaler ADC y NetScaler Gateway, ampliamente utilizadas por grandes empresas y gobiernos para el despliegue de aplicaciones y redes VPN. A pesar de que Citrix ha reconocido la explotación de la vulnerabilidad y ha liberado las actualizaciones de seguridad, muchas organizaciones siguen siendo vulnerables.

La Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU. (CISA, por sus siglas en inglés) ha incluido CVE-2023-4966 en su catálogo de vulnerabilidades explotadas conocidas (KEV), y la empresa de ciberseguridad Rapid7 ha invitado a tomar medidas inmediatas para corregir y mitigar el fallo, señalando que, históricamente, existe interés por parte de grupos de ransomware en las vulnerabilidades de Citrix NetScaler ADC.

El grupo de hackers LockBit, con sede en Rusia, recientemente adquirió acceso a la sucursal estadounidense del Banco Industrial y Comercial de China (ICBC), a través de la explotación de una vulnerabilidad de este tipo: “Ha quedado claro que se han centrado en una vulnerabilidad de Citrix Netscaler, llamada CitrixBleed”, escribió en un blog el investigador de ciberseguridad Kevin Beaumont.

Al parecer, ICBC pagó el rescate a LockBit tras el ataque de ransomware en su rama de servicios financieros. Beaumont dio a conocer que Allen & Overy, uno de los mayores bufetes de abogados del mundo, también fue víctima de atacantes que explotaron CitrixBleed en su instancia de Netscaler. El bufete abordó el problema mediante la aplicación de parches, tras el incidente.

Fuentes:

https://cve.circl.lu/cve/CVE-2023-4966
https://www.msn.com/en-in/money/topstories/citrixbleed-vulnerability-sparks-cybersecurity-crisis-across-industries-icbc-boeing-and-more-targeted/ar-AA1jXBUO