Hackers aproveitaram-se de uma falha crítica num produto da Citrix para atacar a infraestrutura essencial dos EUA. O ciberataque, confirmado pela Agência de Segurança de Infraestruturas e Cibersegurança dos EUA (CISA), bem como por diversas empresas de cibersegurança, foi inicialmente relatado pelo TechCrunch.
A falha explorada pelos hackers anónimos está associada aos produtos empresariais NetScaler ADC e NetScaler Gateway da Citrix, concebidos para a entrega segura de aplicações e serviços de VPN.
Uma falha crítica com um impacto potencialmente devastador
Designada como CVE-2023-3519, esta vulnerabilidade apresenta uma classificação de gravidade de 9.8, tornando-se num problema crítico. Através dela, os hackers conseguiram executar código arbitrário nos dispositivos como utilizadores não autenticados.
A CISA veio a público afirmar que, em junho, detetou a exploração desta falha contra uma organização de infraestrutura crítica dos EUA, cuja identidade não foi divulgada.
As consequências de um ataque bem-sucedido
Segundo a CISA, os atacantes utilizaram a falha para instalar uma webshell no NetScaler ADC, o que lhes permitiu roubar dados sensíveis da Active Directory da empresa. A boa notícia é que o dispositivo estava isolado dentro da rede, impedindo os atacantes de se movimentarem lateralmente e causarem ainda mais danos.
No entanto, a publicação alerta que outras organizações podem não ter a mesma sorte, pois ainda existem mais de 15 mil servidores Citrix em todo o mundo que precisam ser corrigidos e que, portanto, estão vulneráveis a esta falha. A maioria desses servidores encontra-se nos Estados Unidos (5.700), mas há números significativos também na Alemanha (1.500) e no Reino Unido (1.000).
A Citrix afirma não saber quem explorou a falha até agora, mas suspeita que tanto atores financeiramente motivados como patrocinados pelo Estado estejam envolvidos. A China surge novamente nas conjeturas. Os investigadores da Mandiant concordam, argumentando que a atividade é “coerente com as operações anteriores de atores ligados à China, com base nas capacidades conhecidas e ações contra os ADC’s da Citrix em 2022”.
Outros artigos interessantes: