[13/01/2023] Se cree que el grupo de ransomware Royal está explotando activamente una falla de seguridad crítica que afecta a los sistemas Citrix, según el equipo de ciberinvestigación del proveedor de ciberseguros At-Bay. Anunciada por Citrix el 8 de noviembre del 2022, la vulnerabilidad, identificada como CVE-2022-27510, permite eludir potencialmente las medidas de autenticación en dos productos Citrix: el Application Delivery Controller (ADC) y Gateway.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
En el momento de su divulgación no se conocían casos de explotación de la vulnerabilidad. Sin embargo, desde la primera semana del 2023, los ciberinvestigadores de At-Bay afirman que nueva información sugiere que el grupo de ransomware Royal la está explotando activamente. Royal, considerado uno de los grupos de ransomware más sofisticados, surgió en enero del 2022 y se mostró especialmente activo en la segunda mitad del año pasado.
Cómo aprovecha el grupo de ransomware Royal la vulnerabilidad CVE-2022-27510
Tan pronto como se publicó la vulnerabilidad de Citrix, el equipo de investigación cibernética de At-Bay comenzó a evaluar la magnitud del riesgo y a identificar las empresas que podrían estar expuestas, escribió Adi Dror, analista de datos cibernéticos de At-Bay, en un informe. "Los datos de nuestras exploraciones, la información obtenida de los datos de reclamaciones y otros datos de inteligencia recopilados por nuestro equipo de investigación cibernética apuntan a la vulnerabilidad de Citrix CVE-2022-27510 como el punto de acceso inicial utilizado por el grupo de ransomware Royal para lanzar un reciente ataque de ransomware", añadió.
El presunto método de explotación de la vulnerabilidad de Citrix por el grupo de ransomware Royal está en consonancia con la explotación de vulnerabilidades similares vistas en el pasado, continuó Dror. Parece que Royal está explotando esta vulnerabilidad de elusión de autenticación en productos Citrix para obtener acceso no autorizado a dispositivos con Citrix ADC o Citrix Gateway y lanzar ataques de ransomware. "Explotar vulnerabilidades en servidores es uno de los vectores de ataque más comunes para los grupos de ransomware, especialmente en servidores de infraestructuras críticas como los que proporciona Citrix. Sin embargo, lo que diferencia a este caso es que el grupo de ransomware está utilizando la vulnerabilidad de Citrix antes de que exista un exploit público".
Las siguientes versiones de Citrix ADC y Citrix Gateway están afectadas por CVE-2022-27510, según Dror:
| Producto | Versiones afectadas | Versiones corregidas |
| Citrix ADC and Citrix Gateway 13.1 | Antes de 13.1-33.47 | ?13.1-33.47 y posterior |
| Citrix ADC and Citrix Gateway?13.0 | Antes de 13.0-88.12 | 13.0-88.12?y posterior |
| Citrix ADC and?Citrix?Gateway?12.1? | Antes de 12.1-65.21 | 12.1-65.21 y posterior |
| Citrix ADC 12.1-FIPS | Antes de 12.1-55.289 | 12.1-55.289 y posterior |
Se insta a las empresas que utilicen cualquiera de los productos Citrix afectados a parchear el software vulnerable y seguir los métodos de mitigación recomendados por Citrix. "Incluso para los clientes que no han recibido una alerta de seguridad, es importante que comprueben si están ejecutando productos vulnerables y los parcheen inmediatamente", declaró Dror.
El grupo de ransomware Royal es una amenaza activa y evasiva para las empresas
El grupo Royal intensificó significativamente sus operaciones en los últimos meses del 2022 y desarrolló su propio programa de ransomware personalizado que permite a los atacantes realizar un cifrado de archivos flexible y rápido. "Su ransomware, que el grupo despliega a través de diferentes TTPs, ha impactado en múltiples organizaciones de todo el mundo", afirman investigadores de la firma de seguridad Cybereason en un informe reciente.
Las tácticas del grupo guardan similitudes con las de Conti, lo que hace sospechar que está formado en parte por antiguos miembros del infame grupo que cerró en mayo del 2022. Se sabe que el grupo Royal utiliza el phishing como vector de ataque inicial, así como cargadores de terceros como BATLOADER y Qbot para la distribución. El acceso inicial suele ir seguido del despliegue de un implante Cobalt Strike para persistir y moverse lateralmente dentro del entorno en preparación para soltar la carga útil del ransomware. Las tácticas empleadas por Royal permiten al grupo eludir la detección con un cifrado parcial.
Basado en el artículo de Michael Hill (CSO) y editado por CIO Perú