Descripción
Expertos en seguridad han identificado una campaña maliciosa realizada por el grupo malintencionado conocido como “APT41”, dirigida a dispositivos de red de las marcas Citrix, Cisco y Zoho, afectando a organizaciones del sector de salud, educación, manufactura, gubernamental y tecnológico, de manera principal en países de Europa, Norteamérica y Sudamérica.
La campaña identificada hace uso del programa malicioso conocido como “Speculoos”, el cual aprovecha una falla rastreada como CVE-2019-19781 v3.1 – 9.8 [Crítica]. La vulnerabilidad afecta a Citrix Application Delivery Controller (ADC), Citrix Gateway y dispositivos Citrix SD-WAN WANOP permitiendo a un usuario ejecutar código de manera remota en el dispositivo afectado. Cabe destacar que esta vulnerabilidad fue identificada el 17 de diciembre de 2019 y fue corregida por Citrix el 24 de enero de 2020, sin embargo, durante este periodo se identificaron varios ataques dirigidos, los cuales aprovechaban el fallo.
Speculoos es una puerta trasera creada para ejecutarse en un sistema FreeBSD, una vez que este es cargado en el dispositivo se comunica a un servidor Comando y Control (C&C) controlado por el atacante por medio del puerto TCP/443. Posteriormente, Speculoos realiza un escaneo inicial del sistema de la víctima para enviar los datos al servidor C&C. Entre la información obtenida se encuentra el nombre de usuario, dirección MAC, versión de sistema operativo, nombre del host, espacio en disco, información de la memoria física, número de CPU, velocidad y modelo del mismo. Finalmente, esta herramienta le da acceso al atacante para ejecutar código de manera remota en el dispositivo afectado.
Cabe destacar que los dispositivos que esta campaña está aprovechando, en su mayoría tienen acceso a una gran cantidad de sistemas de organizaciones, permitiendo que usuarios maliciosos puedan comprometer a otros dispositivos dentro de la red organizacional, ocasionando que tomen el control total de la misma.
Nivel de riesgo
- Crítico
Sistemas/tecnologías afectadas:
- Citrix Application Delivery Controller (ADC) 10.5.
- Citrix Application Delivery Controller (ADC) 11.1.
- Citrix Application Delivery Controller (ADC) 12.0.
- Citrix Application Delivery Controller (ADC) 12.1.
- Citrix Application Delivery Controller (ADC) 13.0.
- Citrix Gateway 10.5.
- Citrix Gateway 11.1.
- Citrix Gateway 12.0.
- Citrix Gateway 12.1.
- Citrix Gateway 13.0.
- Citrix SD-WAN WANOP 10.2.6b.
- Citrix SD-WAN WANOP 11.0.3b.
- Dispositivos de red de Cisco.
- Dispositivos de red de Zoho.
Indicadores de compromiso IoCs
A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña maliciosa reportada en esta alerta.
- SHA-256-256
- 493574e9b1cc618b1a967ba9dabec4
74bb239777a3d81c11e49e7bb9c71c 0c4e - 85297097f6dbe8a52974a43016425d
4adaa61f3bdb5fcdd186bfda2255d5 6b3d - 99c5dbeb545af3ef1f0f9643449015
988c4e02bf8a7164b5d6c86f67e6dc 2d28 - c2a88cc3418b488d212b36172b089b
0d329fa6e4a094583b757fdd3c5398 efe1 - 6943fbb194317d344ca9911b7abb11
b684d3dca4c29adcbcff3929182290 2167
- 493574e9b1cc618b1a967ba9dabec4
- Direcciones IP identificadas en estas campañas
- 66.42.98[.]220
- 119.28.139[.]120
- 119.28.139[.]20
- Dominios identificados en esta campaña
- exchange[.]longmusic[.]com
- alibaba[.]zzux[.]com
Medidas de contención
- Aplicar las actualizaciones de seguridad de forma regular en dispositivos de hardware y software.
- Utilizar una solución efectiva de filtrado de programas maliciosos.
- Utilizar una solución de antivirus actualizado, con una solución de detección y prevención de intrusos.
- Configurar las herramientas de seguridad perimetral e introducir los indicadores de compromiso proporcionados.
Medidas de erradicación
A continuación, se listan las actualizaciones de seguridad liberadas por Citrix para corregir la vulnerabilidad que aprovecha esta campaña maliciosa:
- Citrix Application Delivery Controller (ADC) 10.5.70.
- Citrix Application Delivery Controller (ADC) 11.1.63.15.
- Citrix Application Delivery Controller (ADC) 12.0.63.13.
- Citrix Application Delivery Controller (ADC) 12.1.55.
- Citrix Application Delivery Controller (ADC) 13.0.47.
- Citrix Gateway 10.5.70.
- Citrix Gateway 11.1.63.15.
- Citrix Gateway 12.0.63.15.
- Citrix Gateway 12.1.55.
- Citrix Gateway 13.0.47.
- Citrix SD-WAN WANOP 11.1.51.615.
Referencias
- https://unit42.
paloaltonetworks.com/apt41- using-new-speculoos-backdoor- to-target-organizations- globally/ - https://otx.alienvault.com/
pulse/ 5e95c0d3d12068d29f538338?utm_ userid=juccar&utm_medium= InProduct&utm_source=OTX&utm_ content=Email&utm_campaign= new_pulse_from_following - https://nvd.nist.gov/vuln/
detail/CVE-2019-19781 - https://www.citrix.com/blogs/
2020/01/22/update-on-cve-2019- 19781-fixes-now-available-for- citrix-sd-wan-wanop/