FireEye ajuda Citrix a detectar servidores comprometidos

Paulo Brito
23/01/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

A ferramenta foi projetada para permitir que os clientes a rodem nas suas instâncias Citrix e obtenham uma avaliação rápida de possíveis indicações de comprometimento em seus sistemas

A Citrix ainda não lançou o patch para a correção da mais recente vulnerabilidade de seus servidores (CVE-2019-19781). Mas ontem anunciou em conjunto com a FireEye uma ferramenta para detecção do comprometimento de servidores. O problema afeta determinadas versões do Citrix Application Delivery Controller (ADC), Citrix Gateway e duas versões mais antigas do Citrix SD-WAN WANOP. A ferramenta é acessível gratuitamente nos repositórios GitHub da Citrix e da FireEye e pode detectar os seguintes problemas:

• entradas de log do servidor web indicando exploração bem-sucedida
• paths do file system para arquivos de malware conhecidos
• atividade pós-exploração no histórico do shell
• termos maliciosos conhecidos nos diretórios NetScaler
• modificação inesperada dos diretórios NetScaler
• entradas inesperadas do crontab
• processos inesperados
• portas usadas por malware conhecido

A ferramenta foi projetada para permitir que os clientes a rodem nas suas instâncias Citrix e obtenham uma avaliação rápida de possíveis indicações de comprometimento em seus sistemas, com base em ataques e explorações conhecidos.

Ela é compatível com todas as versões suportadas do Citrix ADC e Citrix Gateway, incluindo 11.1, 12.0, 12.1, 10.5 e 13.0, e Citrix SD-WAN WANOP versões 10.2.6 e 11.0.3. Além de aplicar todas as etapas de mitigação já disponíveis e instalar atualizações permanentes a serem publicadas esta semana, a Citrix e a FireEye recomendaram que todos os clientes Citrix executem essa ferramenta o mais rápido possível para elevar seu nível conhecimento sobre possíveis comprometimentos e tomar as medidas apropriadas. 

A Citrix anunciou a vulnerabilidade CVE-2019-19781 juntamente com as mitigações (mas não soluções) em 17 de dezembro de 2019. No entanto, exploits foram publicados no início de janeiro de 2020 para tirar proveito da falha. Como resultado, o risco de sistemas de clientes não mitigados aumentou significativamente. “Embora nossas equipes de segurança e engenharia trabalhem 24 horas por dia para desenvolver, testar e fornecer correções permanentes ao CVE-2019-19781, pensamos ativamente em maneiras de ajudar nossos clientes a entender se e como seus sistemas foram afetados”, disse Fermin Serna, diretor de segurança da informação da Citrix.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest