Citrix: iniziata la scansione della rete per trovare i dispositivi senza patch
Un gruppo di cyber criminali sta scansionando la rete alla ricerca dei dispositivi di rete Citrix vulnerabili. Il produttore ha pubblicato mercoledì le patch che chiudono 11 falle, l'installazione è urgente.
Sembra un déjà vu, ma non lo è. Almeno non nel nome dell'azienda coinvolta. Quanto accaduto a inizio settimana con F5 si sta ripetendo in modo quasi identico con Citrix. Mercoledì l'azienda statunitense ha pubblicato le patch per 11 vulnerabilità che interessano i dispositivi di rete Citrix ADC, Citrix Gateway e Citrix SD-WAN WANOP.
Giovedì Johannes Ullrich di SANS ha individuato i primi tentativi di attacco che sfruttavano due delle vulnerabilità Citrix. Con F5 i criminali informatici avevano impiegato tre giorni per attivarsi. Al secondo giro in una settimana ormai gli attaccanti avevano "preso la mano" con il da farsi.
Del resto, come avevamo sottolineato, i cyber criminali sono sempre più attenti alle vulnerabilità degli apparati di rete, che sono un ottimo ingresso per gli attacchi alle aziende. E contano sul ritardo con cui mediamente vengono applicate le patch. In questo momento tutti i dispositivi senza patch sono altamente a rischio, e con essi le reti a cui fanno capo.
Da notare che, per tutelare i clienti, Citrix è stata volutamente vaga nella descrizione delle falle e dei relativi exploit. Come ha sottolineato il CISO Fermin Serna in un advisor, "stiamo limitando la divulgazione pubblica di molti dei dettagli tecnici delle vulnerabilità e delle patch per proteggere i nostri clienti. In tutto il settore, oggi gli attaccanti utilizzano i dettagli e le patch per decodificare exploit".
Come precisato nella notizia precedente, le vulnerabilità dei prodotti Citrix non sono gravi come quelle di F5. In caso di attacco l'unico rischio in cui si incorre è la perdita di informazioni. Non è cosa da poco, ma non è grave quanto l'assunzione del controllo da remoto dei dispositivi non sicuri.
L'unica azione da fare per abbassare la soglia di rischio è installare le patch, che risolvono del tutto le vulnerabilità, rimettendo in sicurezza la rete.
Giovedì Johannes Ullrich di SANS ha individuato i primi tentativi di attacco che sfruttavano due delle vulnerabilità Citrix. Con F5 i criminali informatici avevano impiegato tre giorni per attivarsi. Al secondo giro in una settimana ormai gli attaccanti avevano "preso la mano" con il da farsi.
Del resto, come avevamo sottolineato, i cyber criminali sono sempre più attenti alle vulnerabilità degli apparati di rete, che sono un ottimo ingresso per gli attacchi alle aziende. E contano sul ritardo con cui mediamente vengono applicate le patch. In questo momento tutti i dispositivi senza patch sono altamente a rischio, e con essi le reti a cui fanno capo.
Da notare che, per tutelare i clienti, Citrix è stata volutamente vaga nella descrizione delle falle e dei relativi exploit. Come ha sottolineato il CISO Fermin Serna in un advisor, "stiamo limitando la divulgazione pubblica di molti dei dettagli tecnici delle vulnerabilità e delle patch per proteggere i nostri clienti. In tutto il settore, oggi gli attaccanti utilizzano i dettagli e le patch per decodificare exploit". I tentativi di sfruttamento
Ullrich, lo stesso ricercatore che ha lanciato l'allarme sugli attacchi ai dispositivi F5, ha rilevato "alcune scansioni alla ricerca di sistemi che sono ancora senza patch". Con F5 i tentativi provenivano da 5 indirizzi IP. Nel caso di Citrix provengono tutti da un singolo ISP. Significa che probabilmente al momento è attivo un solo gruppo con l'obiettivo di individuare i prodotti fallati.Come precisato nella notizia precedente, le vulnerabilità dei prodotti Citrix non sono gravi come quelle di F5. In caso di attacco l'unico rischio in cui si incorre è la perdita di informazioni. Non è cosa da poco, ma non è grave quanto l'assunzione del controllo da remoto dei dispositivi non sicuri.
L'unica azione da fare per abbassare la soglia di rischio è installare le patch, che risolvono del tutto le vulnerabilità, rimettendo in sicurezza la rete.
Rimani sempre aggiornato, seguici su Google News!
Seguici
Notizie correlate
Speciali Tutti gli speciali
Calendario Tutto
Mag 07
Huawei Italy Enterprise Roadshow 2024 - Roma
Mag 08
Road to NIS2 - Padova
Mag 09
IDC Future of Digital Infrastructure Forum 2024
Mag 09
Huawei Italy Enterprise Roadshow 2024 - Caserta
Mag 14
Roadshow SMB “Exclusive On the Road” 2024 - Treviso
Mag 14
Huawei Italy Enterprise Roadshow 2024 - Aci Castello
Mag 16
Road to NIS2 - Roma
Mag 21
WithSecure - Gestione delle Vulnerabilità e Regolamentazione NIS2
Mag 22
Roadshow SMB “Exclusive On the Road” 2024 - Bologna
G11 Media Networks
SecurityOpenLab e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
