La famosa
compañía de software Citrix, reveló que el pasado 6 de marzo sufrió una brecha
de seguridad ocasionada por cibercriminales Iraníes que ha permitido a los
atacantes revelar 6TB de información sensible de distintos clientes. El reporte
le llegó a Citrix la semana pasada por parte del FBI.
Aunque aún
no hay evidencias del método utilizado, el FBI considera que se ha utilizado
una técnica conocida como “password spraying“, un tipo de ataque por fuerza
bruta en el que se comprueban un número reducido de contraseñas comunmente
utilizadas contra múltiples usuarios. A diferencia de los ataques por fuerza
tradicionales en los que se trata de vulnerar una única cuenta.
Los
investigadores de Resecurity ya reportaron en diciembre de 2018 que el grupo de
cibercriminales IRIDIUM habían atacado a más de 200 gobiernos, compañías de gas
y petróleo o compañías tecnológicas entre otras. [Su reporte]. No obstante,
Citrix no ha actuado hasta este último reported del FBI alertando sobre la
brecha de seguridad.
Por otro
lado, el Presidente de Resecurity ha afirmado para NBC News que IRIDIUM logró
acceder a la red interna de Citrix hace 10 años y que han permanecido dentro de
la infraestructura desde entonces, accediendo posiblemente a información
sensible.
La noticia
de este incidente de seguridad ha llegado a Forbes, los cuales han manifestado
la gravedad del incidente dado que -como comentan- Citrix provee servicios a
más de 400.000 compañías y alrededor del 98% de las compañías dentro de la
lista Fortune 500.
“Citrix
provides virtual private network access and credentials to 400,000 companies
and other organizations worldwide and 98% of the Fortune 500”
Cabe
destacar que entre las empresas dentro de la lista de Fortune 500 se encuentran
Walmart (puesto 1), Apple (puesto 4), Amazon (puesto 8) o grandes bancos como
Deutsche Bank (puesto 223), por lo que se manifiesta la gran problemática de
permitir el acceso a información confidencial a usuarios no autorizados.
Si
realizamos una búsqueda por Shodan en busca de máquinas virtuales de Citrix,
nos encontramos (a fecha de hoy) más de 3000 máquinas de distintos países,
estando España en el segundo puesto de máquinas Citrix con 162, sólo por detrás
de EEUU con 1403.
Entre las
máquinas que hemos podido encontrar con esta simple búsqueda, nos cabe destacar
empresas petroleras en Arabía Saudí entre otras.
Se pone de
manifiesto la facilidad para cibercriminales como IRIDIUM de realizar ataques
como los de “password spraying” utilizando servicios tales como HaveIBeenPwned
para conocer, en su sección de Passwords, si una determinada contraseña ha
aparecido en algún leak. Nos percatamos que hay una gran cantidad de usuarios
utilizando contraseñas poco complejas como “password”, la cual aparece más de 3
millones de veces en la base de datos de HaveIBeenPwned.
Para
minimizar el riesgo a sufrir ataques como los expuestos, se recomienda utilizar
contraseñas robustas más algún 2FA para dificultar el acceso no autorizado de
cibercriminales a nuestros sistemas.
Más información:
- TheHackerNews
https://thehackernews.com/2019/03/citrix-data-breach.html
- Forbes https://www.forbes.com/sites/kateoflahertyuk/2019/03/10/citrix-data-breach-heres-what-to-do-next/#5a4d8eb61476
- NBC https://www.nbcnews.com/politics/national-security/iranian-backed-hackers-stole-data-major-u-s-government-contractor-n980986
- Resecurity https://resecurity.com/blog/supply-chain-the-major-target-of-cyberespionage-groups/
- Blog de
Citrix https://www.citrix.com/blogs/2019/03/08/citrix-investigating-unauthorized-access-to-internal-network/
Fuente: Hispasec