Acerca de la vulnerabilidad de día cero de NetScaler
Citrix Systems ha anunciado
que, como resultado de un fallo de ejecución remota de código (RCE) de día cero, aproximadamente 15.000 servidores NetScaler ADC y Gateway son vulnerables a ciberataques. Los dispositivos vulnerables deben estar configurados como puerta de enlace (servidor virtual VPN, proxy ICA, CVPN, proxy RDP) o servidor virtual de autenticación para ser vulnerables a los ataques.
Los actores de amenazas comenzaron a anunciar el fallo de día cero de Citrix ADC la primera semana de julio en un foro de hackers. Citrix publicó actualizaciones de seguridad para abordar esta vulnerabilidad RCE el 18 de julio de 2023, instando a los clientes a instalar los parches lo antes posible. Desde el anuncio, varias organizaciones, entre ellas la Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU. (CISA), han recomendado a las empresas que tomen medidas inmediatas para remediar esta vulnerabilidad.
En este post, recomendamos cinco preguntas que debe hacer a sus proveedores externos para determinar su uso de NetScaler y comprender su respuesta a cualquier incidente de seguridad relacionado. También compartimos tres mejores prácticas para automatizar mejor la respuesta a incidentes de terceros de su organización.
5 preguntas a vendedores y proveedores sobre la vulnerabilidad de NetScaler
Utilice esta breve evaluación para determinar la exposición de sus proveedores externos (y, por tanto, de su organización) al día cero de NetScaler. A continuación, puede establecer la ponderación del riesgo por respuesta para puntuar la criticidad de la exposición y centrarse en los proveedores de mayor riesgo.
| Preguntas | Posibles respuestas |
|---|---|
| 1) ¿Utiliza la organización un NetScaler ADC y NetScaler Gateway gestionados por el cliente?
Texto de ayuda: A mediados de julio, Citrix anunció que se había descubierto un fallo de alta gravedad en sus NetScaler ADC y NetScaler Gateway gestionados por clientes. La vulnerabilidad podría llevar a un atacante remoto no autenticado a ejecutar código arbitrario en un dispositivo afectado. Las actualizaciones de seguridad para esta vulnerabilidad se publicaron el 18 de julio. |
Seleccione una de las siguientes opciones:
a) Sí, la organización utiliza NetScaler ADC (Citrix ADC) y/o NetScaler Gateway. b) No, la organización no hace uso de NetScaler ADC (Citrix ADC) y/o NetScaler Gateway. |
| 2) ¿Se ha visto afectada la organización por la vulnerabilidad de inyección de código de Citrix?
Texto de ayuda: Debe tenerse en cuenta dónde se ha producido el impacto, junto con el nivel de impacto. |
Seleccione una de las siguientes opciones:
a) Se ha producido un impacto significativo en nuestros sistemas, aplicaciones o información críticos. b) Existe un alto nivel de impacto en nuestros sistemas, aplicaciones o información críticos. c) Ha habido un bajo nivel de impacto en nuestros sistemas, aplicaciones o información críticos. d) El ciberataque no ha tenido ningún impacto en nuestros sistemas, aplicaciones o información críticos. |
| 3. Cuando se utiliza NetScaler ADC o NetScaler Gateway, ¿ha tomado la organización las medidas recomendadas por el proveedor de la solución (Citrix) para solucionar la vulnerabilidad?
Texto de ayuda: Citrix ha instado a las organizaciones a instalar las versiones más actualizadas de NetScaler ADC y NetScaler Gateway lo antes posible. Las recomendaciones pueden encontrarse en el sitio web de asistencia de Citrix. |
Por favor, seleccione todo lo que corresponda.
a) La organización ha identificado su funcionamiento con una versión impactada de NetScaler ADC y/o NetScaler Gateway. b) Se han aplicado los últimos parches y actualizaciones a NetScaler ADC y/o NetScaler Gateway. |
| 4. ¿Afecta el compromiso a los servicios críticos prestados al cliente? | Seleccione una de las siguientes opciones:
a) Sí b) No |
| 5. ¿Quién es el punto de contacto que puede responder a preguntas adicionales? | Indique el contacto clave para la gestión de incidentes de información y ciberseguridad.
Nombre: Título: Correo electrónico: Teléfono: 3 mejores prácticas para mitigar incidentes de seguridad con proveedores externos |
Aunque no es posible eliminar todos los riesgos de todas las relaciones con proveedores, su programa de gestión de riesgos de terceros puede ofrecer la visibilidad y automatización necesarias para encontrar y mitigar de forma proactiva los riesgos que pueden perturbar su negocio. Comience con estos tres pasos:
1. Identificar a los proveedores que podrían estar utilizando la tecnología afectada.
Para saber qué proveedores utilizan una tecnología impactada es necesario conocer quiénes son sus proveedores, lo que implica crear un inventario centralizado de proveedores. No puede conseguirlo utilizando hojas de cálculo o delegando la gestión de proveedores en equipos de línea de negocio. Tiene que hacerse de forma centralizada en un sistema accesible para todos los implicados en sus iniciativas de gestión de proveedores. Su sistema central de registro debe permitir la importación de datos de perfiles de proveedores desde cualquier hoja de cálculo existente o a través de una conexión API a su solución de aprovisionamiento actual.
Una vez que haya centralizado todos sus proveedores, utilice cuestionarios de proveedores apoyados por capacidades de exploración pasiva para ayudarle a identificar las relaciones tecnológicas de cuarta parte. En este caso concreto, este ejercicio revelaría qué proveedores utilizan NetScaler. La recopilación de información sobre tecnologías de terceros desplegadas en su ecosistema de proveedores ayuda a identificar las organizaciones que utilizan la tecnología afectada, por lo que puede priorizar cuáles de sus proveedores requieren más evaluaciones.
2. Emitir evaluaciones de riesgo específicas para cada acontecimiento
Una vez que haya identificado a los proveedores con la tecnología afectada desplegada en sus entornos, contrátelos con evaluaciones sencillas y específicas que se ajusten a las normas y mejores prácticas de seguridad conocidas, como NIST 800-161
e ISO 27036. Los resultados de estas evaluaciones le ayudarán a orientar las medidas correctoras necesarias para subsanar las posibles deficiencias de seguridad. Las buenas soluciones de evaluación proporcionarán recomendaciones integradas para acelerar la corrección y cerrar rápidamente esas brechas.
Comience su evaluación específica del evento basándose en las cinco preguntas que hemos identificado en la sección anterior, ponderando las respuestas en función de la tolerancia al riesgo de su organización:
Se trata de preguntas básicas destinadas a exponer cierta información inicial. Su organización puede optar por hacer preguntas diferentes o adicionales.
3. Seguimiento continuo de los proveedores afectados
Es importante estar continuamente alerta; no sólo de los riesgos derivados del día cero de NetScaler, sino también de los derivados del próximo ataque. Empiece por vigilar Internet y la web oscura mediante una cibervigilancia continua para descubrir listas de credenciales robadas a la venta y otras señales de un incidente de seguridad inminente.
Tus esfuerzos de monitorización deben cubrir foros criminales, páginas cebolla, foros de acceso especial de la Dark Web, feeds de amenazas, sitios de pegado de credenciales filtradas, comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades y hackeos/brechas, y noticias negativas. La vigilancia de la web oscura reveló esta vulnerabilidad concreta en un foro de hackers.
Puede supervisar múltiples fuentes individuales, o puede utilizar una solución que unifique la información procedente de varias fuentes, centralice todos los datos sobre riesgos y los haga visibles para las principales partes interesadas. Este último enfoque le permite correlacionar los resultados de la supervisión continua con las respuestas de la evaluación de riesgos para validar si los proveedores disponen de controles o no.
Próximos pasos: Active su programa de respuesta a incidentes de terceros
Si se produjera un incidente de ciberseguridad en su ecosistema de proveedores, ¿sería capaz de comprender rápidamente sus implicaciones y activar un plan de respuesta a incidentes? El tiempo es esencial en la respuesta a incidentes, por lo que ser más proactivo con un plan de respuesta a incid entes definido acortará el tiempo para descubrir y mitigar los posibles problemas de los proveedores. Un plan programático de respuesta a incidentes de terceros debe incluir:
- Una base de datos centralizada de proveedores y tecnologías en las que se basan.
- Evaluaciones preconstruidas de la resistencia, continuidad y seguridad de la empresa para calibrar la probabilidad y el impacto de un incidente.
- Puntuación y ponderación para ayudar a centrarse en los riesgos más importantes.
- Recomendaciones integradas para corregir posibles vulnerabilidades
- Informes específicos para responder a las inevitables peticiones de los consejos de administración
Para obtener más información sobre cómo Prevalent puede ayudar a su organización a acelerar el descubrimiento y la mitigación de los riesgos de terceros, solicite una demostración hoy mismo.
Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.
