Un gruppo di cyber criminali sta scansionando la rete alla ricerca dei dispositivi di rete Citrix vulnerabili. Il produttore ha pubblicato mercoledì le patch che chiudono 11 falle, l'installazione è urgente.
Sembra un déjà vu, ma non lo è. Almeno non nel nome dell'azienda coinvolta. Quanto accaduto a inizio settimana con F5 si sta ripetendo in modo quasi identico con Citrix. Mercoledì l'azienda statunitense ha pubblicato le
patch per 11 vulnerabilità che interessano i dispositivi di rete Citrix ADC, Citrix Gateway e Citrix SD-WAN WANOP.
Giovedì Johannes Ullrich di SANS ha individuato i
primi tentativi di attacco che sfruttavano due delle vulnerabilità Citrix. Con F5 i criminali informatici
avevano impiegato tre giorni per attivarsi. Al secondo giro in una settimana ormai gli attaccanti avevano "preso la mano" con il da farsi.
Del resto, come avevamo sottolineato, i cyber criminali sono
sempre più attenti alle vulnerabilità degli apparati di rete, che sono un ottimo ingresso per gli attacchi alle aziende. E contano sul
ritardo con cui mediamente vengono applicate le patch. In questo momento
tutti i dispositivi senza patch sono altamente a rischio, e con essi le reti a cui fanno capo.
Da notare che, per tutelare i clienti, Citrix è stata volutamente vaga nella descrizione delle falle e dei relativi exploit. Come ha sottolineato il CISO Fermin Serna in un advisor, "
stiamo limitando la divulgazione pubblica di molti dei dettagli tecnici delle vulnerabilità e delle patch per proteggere i nostri clienti. In tutto il settore, oggi gli attaccanti utilizzano i dettagli e le patch per decodificare exploit".
I tentativi di sfruttamento
Ullrich, lo stesso ricercatore che ha lanciato l'allarme sugli attacchi ai dispositivi F5, ha rilevato "alcune scansioni alla ricerca di sistemi che sono ancora senza patch". Con F5 i tentativi provenivano da 5 indirizzi IP. Nel caso di Citrix provengono tutti da un singolo ISP. Significa che probabilmente al momento è attivo un solo gruppo con l'obiettivo di individuare i prodotti fallati.
Come precisato nella notizia precedente, le vulnerabilità dei prodotti Citrix non sono gravi come quelle di F5. In caso di attacco l'unico rischio in cui si incorre è la perdita di informazioni. Non è cosa da poco, ma non è grave quanto l'assunzione del controllo da remoto dei dispositivi non sicuri.
L'unica azione da fare per abbassare la soglia di rischio è installare le patch, che risolvono del tutto le vulnerabilità, rimettendo in sicurezza la rete.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di
SecurityOpenLab.it iscriviti alla nostra
Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News!
Seguici