El equipo de seguridad del Departamento de Salud y Servicios Humanos de EE.UU. (HHS en sus siglas), el llamado 'Centro de Coordinación de Ciberseguridad del Sector de la Salud' (HC3), ha emitido una alerta sectorial, advirtiendo a los hospitales de que parchearan la vulnerabilidad crítica de Netscaler 'Citrix Bleed'.
Este error (identificado como CVE-2023-4966) ha sido explotado activamente por los grupos de ransomware para sus ataques, violando las redes de sus objetivos y eludiendo los requisitos de inicio de sesión y las protecciones de autenticación multifactor.
El HHS ha pedido a todas las organizaciones de atención médica de EE.UU. que protejan os dispositivos NetScaler ADC y NetScaler Gateway vulnerables contra los ataques de estas bandas, según recoge Bleeping Computer.
"La vulnerabilidad Citrix Bleed está siendo explotada activamente y HC3 insta encarecidamente a las organizaciones a actualizar para evitar mayores daños al sector de la atención sanitaria y la salud pública (HPH). Esta alerta contiene información sobre la detección de ataques y la mitigación de la vulnerabilidad", señala el centro.
"HC3 recomienda firmemente a los usuarios y administradores que revisen estas acciones recomendadas y actualicen sus dispositivos para evitar daños graves al sector HPH", añade.
Otras advertencias
Previamente Citrix ya había emitido dos advertencias pidiendo a los administradores que parcheara de forma inmediata sus dispositivos. Asimismo, les recordó que era recomendable que eliminaran todas las sesiones activas y persistentes para evitar que los atacantes robaran tokens de autenticación incluso después de instalar las actualizaciones de seguridad.
La compañía no fue la única. CISA y el FBI también advirtieron sobre la posibilidad de que la banda de ransomware LockBit se uniese a los ataques.
Una de sus víctimas, el gigante aeroespacial Boeing, compartió detalles sobre cómo una filial de LockBit violó su red en octubre sirviéndose de un exploit Citrix Bleed.
Este error crítico no es ninguna broma. El experto en ciberseguridad Kevin Beaumont ha realizado una investigación, rastreando y analizando ciberataques contra varias víctimas de peso en todo el mundo, y ha descubierto que en la mayoría de los casos las violaciones se hicieron sirviéndose del agujero de seguridad de Citrix Bleed.
A mediados de noviembre, el investigador de amenazas japonés Yutaka Sejiyama le comentó a BleepingComputer que más de 10.000 servidores Citrix (muchos de ellos pertenecientes a organizaciones críticas en muchos países) todavía eran vulnerables a los ataques, más de un mes después de que se corrigiera la vulnerabilidad crítica.