Home » Citrix admite que atacantes quebraron su red
CIBERSEGURIDAD

Citrix admite que atacantes quebraron su red

citrix, Citrix admite que atacantes quebraron su red, SecureWeek

El viernes, el gigante de software Citrix emitió una breve declaración en la que admitía que los piratas informáticos recientemente lograron ingresar a su red interna.

Según una declaración del jefe de seguridad de la información, Stan Black, el 6 de marzo, el FBI informó a la compañía del ataque, ya que cuando se estableció que los atacantes habían tomado “documentos comerciales” durante el incidente:Sin embargo, actualmente se desconocen los documentos específicos a los que se pudo acceder. En este momento, no hay indicios de que se haya comprometido la seguridad de ningún producto o servicio de Citrix.

Ninguna mención de cuándo los atacantes obtuvieron acceso, ni cuánto tiempo había durado. En cuanto a cómo ingresaron a la red de una compañía que se estima administrará el acceso VPN de 400,000 grandes organizaciones globales:

Aunque no está confirmado, el FBI ha informado que los piratas informáticos probablemente usaron una táctica conocida como la aplicación de contraseñas, una técnica que explota contraseñas débiles. Una vez que lograron un punto de apoyo con acceso limitado, trabajaron para sortear capas adicionales de seguridad.

Si usted es un cliente de Citrix, aparte de la falta de detalles, dos aspectos de la declaración lo habrán inquietado: la idea de que los atacantes podrían eludir “capas adicionales de seguridad” en una importante empresa de tecnología y el hecho de que la compañía no lo hizo. No sé sobre el compromiso hasta que el FBI lo contactó.

Entrar en la seguridad

Y allí, la historia podría haberse detenido por unos días si una compañía poco conocida llamada Resecurity no hiciera sus propias afirmaciones sobre lo que le sucedió a Citrix .

En un blog, dijo que el ataque de un grupo iraní llamado Iridium había robado “al menos” 6 TB de datos confidenciales de Citrix, incluidos correos electrónicos y archivos.

El 28 de diciembre, Resecurity había avisado a Citrix de que se había producido una violación, planeada y organizada para coincidir con el periodo navideño.

Citrix fue solo una de las 200 agencias gubernamentales, compañías de petróleo, gas y tecnología seleccionadas durante la campaña de Iridium, dijo el blog.

Por otra parte, NBC News dijo que había hablado con el presidente de Resecurity, Charles Yoo, quien le dijo que los atacantes habían obtenido acceso a la red de Citrix a través de múltiples cuentas de empleados comprometidas:Así que es una intrusión bastante profunda, con múltiples compromisos de empleados y acceso remoto a recursos internos.

¿Que significa?

Hasta el momento, las reclamaciones de Resecurity no se han confirmado, lo que significa que se deben tratar con precaución hasta que se publiquen más detalles. Puede (o no) ser significativo que, hasta ahora, Citrix no los haya negado.

Para los clientes de Citrix y la industria en general, la importancia de esta historia está en los detalles. Por ejemplo, Resecurity afirma que los atacantes encontraron formas de eludir la autenticación de dos factores (2FA) para “aplicaciones y servicios críticos para un acceso no autorizado adicional a canales VPN (redes privadas virtuales) y SSO (inicio de sesión único)”.

Si es preciso, la gravedad de esto dependerá de qué tipo de 2FA se esté hablando. Si se trata de códigos OTP enviados por SMS o generados por una aplicación, eso encajaría con una serie de compromisos reportados en los últimos meses de este tipo de autenticación.

X