11 de marzo de 2019

Brecha de seguridad en Citrix expone 6TB de información sensible

La famosa compañía de software Citrix, reveló que el pasado 6 de marzo sufrió una brecha de seguridad ocasionada por cibercriminales Iraníes que ha permitido a los atacantes revelar 6TB de información sensible de distintos clientes. El reporte le llegó a Citrix la semana pasada por parte del FBI.
Aunque aún no hay evidencias del método utilizado, el FBI considera que se ha utilizado una técnica conocida como “password spraying“, un tipo de ataque por fuerza bruta en el que se comprueban un número reducido de contraseñas comunmente utilizadas contra múltiples usuarios. A diferencia de los ataques por fuerza tradicionales en los que se trata de vulnerar una única cuenta.
Los investigadores de Resecurity ya reportaron en diciembre de 2018 que el grupo de cibercriminales IRIDIUM habían atacado a más de 200 gobiernos, compañías de gas y petróleo o compañías tecnológicas entre otras. [Su reporte]. No obstante, Citrix no ha actuado hasta este último reported del FBI alertando sobre la brecha de seguridad.
Por otro lado, el Presidente de Resecurity ha afirmado para NBC News que IRIDIUM logró acceder a la red interna de Citrix hace 10 años y que han permanecido dentro de la infraestructura desde entonces, accediendo posiblemente a información sensible.
La noticia de este incidente de seguridad ha llegado a Forbes, los cuales han manifestado la gravedad del incidente dado que -como comentan- Citrix provee servicios a más de 400.000 compañías y alrededor del 98% de las compañías dentro de la lista Fortune 500.
“Citrix provides virtual private network access and credentials to 400,000 companies and other organizations worldwide and 98% of the Fortune 500”
Cabe destacar que entre las empresas dentro de la lista de Fortune 500 se encuentran Walmart (puesto 1), Apple (puesto 4), Amazon (puesto 8) o grandes bancos como Deutsche Bank (puesto 223), por lo que se manifiesta la gran problemática de permitir el acceso a información confidencial a usuarios no autorizados.
Si realizamos una búsqueda por Shodan en busca de máquinas virtuales de Citrix, nos encontramos (a fecha de hoy) más de 3000 máquinas de distintos países, estando España en el segundo puesto de máquinas Citrix con 162, sólo por detrás de EEUU con 1403.
Entre las máquinas que hemos podido encontrar con esta simple búsqueda, nos cabe destacar empresas petroleras en Arabía Saudí entre otras.
Se pone de manifiesto la facilidad para cibercriminales como IRIDIUM de realizar ataques como los de “password spraying” utilizando servicios tales como HaveIBeenPwned para conocer, en su sección de Passwords, si una determinada contraseña ha aparecido en algún leak. Nos percatamos que hay una gran cantidad de usuarios utilizando contraseñas poco complejas como “password”, la cual aparece más de 3 millones de veces en la base de datos de HaveIBeenPwned.
Para minimizar el riesgo a sufrir ataques como los expuestos, se recomienda utilizar contraseñas robustas más algún 2FA para dificultar el acceso no autorizado de cibercriminales a nuestros sistemas.
Más información:
Fuente: Hispasec