Cerca de 20 mil servidores Citrix ainda têm falhas críticas de segurança

Aproximadamente 20 mil servidores Citrix ainda seguem expostos a duas vulnerabilidades graves de segurança, solucionadas pela empresa em novembro e dezembro do ano passado. As correções foram liberadas a todos os usuários dos sistemas corporativos, mas não foram aplicadas por muitos deles enquanto agentes maliciosos já foram detectados utilizando a abertura para realizar ataques contra as plataformas.

• Como pequenas e médias empresas podem se proteger de ciberataques?
• 5 falhas abrem brechas para ciberataques em empresas

A estimativa é dos pesquisadores em segurança da equipe Fox IT, do Grupo NCC, que apontam a utilização de pelo menos uma das vulnerabilidades em ataques executados por um grupo cibercriminoso. A Agência de Segurança Nacional (NSA, na sigla em inglês) do governo dos EUA também engrossou o coro, apontando para uma quadrilha chinesa conhecida como Manganese, em golpes envolvendo o roubo de credenciais e a intrusão em sistemas corporativos e governamentais.

A primeira brecha, rastreada como CVE-2022-27510, atinge os servidores Citrix ADC e Gateway, permitindo que um atacante assuma controle de dispositivos remotamente e aplique ataques de força bruta para descobrir senhas. Um mês depois, em dezembro, veio a segunda, CVE-2022-27518, que permite executar códigos maliciosos de forma remota para a realização de diferentes ofensivas criminosas.

Em ambos os casos, a liberação de atualizações veio antes mesmo da divulgação pública das brechas. O que antes era, até onde se sabe, um único agente cibercriminoso atuando, agora podem ser vários, principalmente na medida em que as corporações demoram na aplicação das atualizações críticas, enquanto os detalhes das vulnerabilidades são públicos.

Os detalhes sobre a exploração da brecha zero-day não foram divulgados, com a Citrix apenas afirmando que as explorações foram limitadas, sem citar números nem segmentos atingidos. A tendência, claro, é que a situação apenas piore, com a grande recomendação aos administradores sendo pela atualização urgente dos servidores, bem como a adoção de sistemas de monitoramento que identifiquem atividades suspeitas e detectem intrusões.

O lado bom é que, de acordo com os números do Fox IT, a maior parte dos servidores Citrix em operação no mundo já rodam as versões mais recentes, protegidas contra as falhas. São cerca de 10 mil, enquanto o restante permanece funcionando com diferentes atualizações que podem defender apenas contra uma das brechas ou nenhuma delas. Holanda, Áustria, Dinamarca e Alemanha lideram entre os países com mais plataformas em dia, enquanto a China tem o menor índice de aplicação de updates, 20%, seguida do Japão, Hong Kong, Irlanda e Estados Unidos, o maior cliente da companhia.

Fonte: Fox IT, NCC Group