Vulnerabilità Citrix Bleed: le vittime sono già 20.000

Preoccupazione per l'exploit Citrix Bleed: nonostante la patch sia disponibile da settimane, i casi aumentano a dismisura.

Negli ultimi giorni sta destando una grande preoccupazione la vulnerabilità nota come Citrix Bleed, che finora ha coinvolto già più di 20.000 dispositivi.

Stiamo parlando di un exploit che presenta un punteggio di gravità molto elevato (di ben 9,4 su una scala da 10) ed è stata sfruttata in massa da gruppi ransomware. Nonostante la patch per la correzione della vulnerabilità sia disponibile da ben tre settimane, molti clienti Citrix non si sono dimostrati tempestivi con gli aggiornamenti e, di giorno in giorno, il numero di vittime tende a salire.

Citrix Bleed è, come già accennato, una criticità notevole. Il motivo di questa preoccupazione è che, attraverso tale falla di sicurezza, i cybercriminali possono rubare token di sessione e credenziali varie, consentendo di aggirare sistemi di autenticazione a più fattori.

La vulnerabilità, tracciata come CVE-2023-4966 e presente nel NetScaler Application Delivery Controller e nel NetScaler Gateway di Citrix, è stata sfruttata attivamente fin da agosto, con una patch rilasciata lo scorso 10 ottobre.

Citrix Bleed: la patch correttiva è pronta, ma troppi utenti non l’hanno ancora adottata

Gli attacchi rispetto a Citrix Bleed sembrano essersi intensificati solo di recente, spingendo il ricercatore di sicurezza Kevin Beaumont a dichiarare come “Questa vulnerabilità è ora oggetto di sfruttamento di massa“.  Lo stesso esperto ha poi parlato di più organizzazioni che stanno approfittando della situazione in modo sistematico.

Beaumont ha affermato come, a sabato scorso, ha individuato ben 20.000 casi di dispositivi Citrix sfruttati in cui erano stati rubati i token di sessione.

Nel frattempo, GreyNoise, una società di sicurezza che utilizza anche honeypot, ha individuato negli scorsi giorni attacchi provenienti da 135 indirizzi IP che hanno sfruttato Citrix Bleed. Rispetto agli sporadici casi delle settimane passate, ciò conferma come i cybercriminali stiano puntando forte su questo exploit.

Infine, a rendere ancora più inquietante la situazione vi è l’organizzazione di sicurezza Shadowserver. Secondo alcune ricerche, infatti, i suoi specialisti hanno individuato circa 5.500 dispositivi ancora senza patch, dunque potenzialmente a forte rischio.

Per gli utenti Citrix a rischio, il consiglio resta quello di ricorrere immediatamente alle apposite patch correttive.

Fonte: arstechnica.com

Ti consigliamo anche

Link copiato negli appunti