Criminali informatici o aspiranti tali stanno andando a caccia di server virtualizzati con Citrix e vulnerabili ad attacchi. Un problema di sicurezza critico è stato scoperto nel Citrix Application Delivery Controller (noto in precedenza anche come NetScaler Adc) e in Citrix Gateway (NetScaler Gateway) da un ricercatore di sicurezza di Positive Technologies, Mikhail Klyuchnikov e ora anche la software house ha emesso un bollettino per dar conto del fatto. La vulnerabilità, identificata dalla sigla CVE-2019-19781, se sfruttata permette ad attacchi di Remote Code Execution, da cui possono derivare danni come accessi non autorizzati ad applicazioni e furto di dati.
Il problema riguarda le versioni 10.5, 11.1, 12.0, 12.1 e 13.0 di Citrix Adc e Citrix Gateway. A detta dei ricercatori, un honeypot sta andando alla ricerca dei server vulnerabili in giro per il mondo, che sarebbero dislocati in non meno di 80mila aziende e prevalentemente concentrati fra Stati Uniti, Australia, Regno Unito, Germania e Olanda. Al momento non ci sono prove del fatto che il bug sia già stato sfruttato e tra l’altro l’honeypot stesso non sembra essere particolarmente sofisticato. Tuttavia Johannes Ullrich, ricercatore del Sans Technology Institute, ha precisato che fonti da lui ritenute credibili sono state in grado di creare un exploit di code execution.
“A seconda delle specifiche configurazioni, le applicazioni di Citrix possono servire a connettersi a workstation e a sistemi critici per le aziende, come gli Erp”, spiega una nota di Positive Technologies. “Questa vulnerabilità permette a qualsiasi attaccante non autorizzato non solo di accedere alle applicazioni presenti, ma anche di attaccare attraverso il server Citrix altre risorse interne alla rete aziendale”.
Al momento non è ancora disponibile alcuna patch, ma Citrix ha fornito alcune indicazioni per mitigare il rischio, consigliando agli amministratori IT come modificare le configurazioni dei server. “Citrix invita i clienti interessati ad applicare immediatamente la mitigazione fornita”, scrive l’azienda. “I clienti dovrebbero poi aggiornare le loro appliance vulnerabili alla versione corretta del firmware dell’appliance, quando sarà pubblicata”.