Le ultime settimane sono state piuttosto frizzanti per il mondo della cybersicurezza a causa di due elementi: una vulnerabilità in grado di bypassare le autenticazioni a due fattori e… una certa lentezza dei proprietari dei dispositivi ad aggiornare questi ultimi.
Qualcuno di voi ha sentito parlare di Citrix Bleed? Se la risposta è no abbiamo una brutta notizia per voi: è possibile che durante il corso dei prossimi mesi questo nomi continui a far capolino all’interno del quotidiano di tanti. Parliamo di una vulnerabilità che si è presa un bel 9.4/10 in termini di rischio percepito, un valore molto alto per un problema che porta soltanto al cosidetto information-disclosure e che non permette l’esecuzione arbitraria di codice.
Le motivazioni dietro questo genere di valutazione però diventano tristemente semplici da capire una volta che si conoscono i dettagli. Citrix Bleed permette di accedere in maniera illegale a informazioni molto sensibili come i token di sessione, ovvero pacchetti di dati che vengono associati a un dispositivo una volta che quest’ultimo ha ricevuto le corrette credenziali d’accesso.
Il risultato finale è chiaro: attraverso questo genere di vulnerabilità è possibile bypassare completamente i layer di sicurezza aggiuntivi forniti da sistemi di autenticazione multifattoriale; un problema non da poco.
Cosa sta succedendo?
La vulnerabilità dietro al Citrix Bleed è stata tracciata con il codice CVE-2023-4966 ed è legata a due elementi: il Netscaler Application Delivery Controller di Citrix e il Netscaler Gateway; secono i dati raccolti dai ricercatori di sicurezza è da agosto che questa vulnerabilità viene sfruttata avidamente dai malintenzionati. Citrix ha patchato la vulnerabilità durante il corso del 10 Ottobre, non trovando però adeguato sostegno da parte dei proprietari dei dispositivi che sembrano essere ancora reticenti a effettuare l’aggiornamenti critici per la sicurezza.
Secondo il ricercatore Kevin Beaumont durante il corso degli ultimi mesi il numero degli attacchi è salito vertiginosamente; a suo dire, infatti, questa vulnerabilità sta venendo sfruttata in maniera massiccia da diversi attori del settore dell’hacking, compresi diversi gruppi specializzati in attacchi ransomware.
Secondo le ricerche di Beaumont, al momento oltre 20000 sono i dispositivi i cui token di accesso sono stati rubati attraverso la vulnerabilità sopra descritta. Tale stima è stata possibile semplicemente attirando in trappola malintenzionati attraverso l’utilizzo di server honeypot mascherati come dispositivi netscaler non ancora aggiornati; risultati simili sono stati suggeriti anche dalle ricerche indipendenti fatte da GreyNoise che è riuscita a tracciare 135 diversi indirizzi IP legati a questo genere di attacchi.
Ma quanto è grave la situazione?
Secondo i dati raccolti dall’organizzazione Shadowserver che si occupa di sicurezza informatica uno dei problemi principali è legato al numero di dispositivi che ancora non hanno installato la patch di sicurezza rilasciata da Citrix. Secondo le stime di Shadowserver ci sono circa migliaia di dispositivi ancora sensibili a questo genere di attacchi, sebbene lentamente stiano diminuendo. Sfruttare la vulnerabilità è molto più semplice di quanto si pensi se si ha un po’ di familiarità con il mondo un certo tipo di informatica: secondo l’analisi tecnica pubblicata da Assetnote basta fare un po’ di reverse engineering della patch pubblicata da Citrix per capire quali sono le funzioni da attaccare e quali sono i metodi più efficaci per portarsi a casa i token di accesso.
Gli utenti normali devono preoccuparsi?
Di base la risposta è no: Citrix Bleed è una vulnerabilità per particolari tipi di dispositivi (i netscaler) che sono sostanzialmente inutili in ambito consumer; molto diverso è il discorso per chi ha aziende o compagnie che lavorano con cloud e datacenter. In questi casi è possibile appoggiarsi alle indicazioni riassunte per tutti da Mandiant, un’azienda americana che si occupa di sicurezza informatica.
Tutti i dispositivi a cui ancora non è stata applicata la patch di sicurezza rilasciata da Citrix vanno considerati come compromessi e l’applicazione dell’aggiornamento deve essere la priorità assoluta. Tutte le credenziali di accesso all’interno del contesto aziendale vanno fatte ruotare, così da invilare eventuali token di sessione potenzialmente rubati dall’esterno.
Per certi versi Citrix Bleed ricorda da vicino Heartbleed, un’altro problema informatico piuttosto grave che diventò pubblico durante il corso del 2014 scatenando il panico in rete. Heartbleed era decisamente più grave perché riguardava da vicino la libreria OpenSSL, portando ad attacchi informatici in grado di rubare password, chiavi di crittazione, credenziali bancarie e numerosissime altre tipologie di informazioni sensibili.
A guardare il bicchiere mezzo pieno viene soltanto da dire una cosa: Citrix è un nome che se non sei un addetto ai lavori non conosci, motivo per cui la maggioranza di quelli che utilizzano un computer hanno ancora l possibilità di dormire sonni relativamente tranquilli.