Cabecera-v2-web.jpg

Explotación activa de vulnerabilidad de Citrix por parte del grupo criminal Prophet Spider


18/03/2022

Se ha detectado una masiva explotación de la vulnerabilidad CVE-2021-22941 que permite a los atacantes realizar ejecución remota de código (RCE) en el sistema afectado.

Prophet Spider es un grupo cibercriminal activo desde al menos mayo del 2017, que obtiene acceso a los sistemas al comprometerlos utilizando sus servidores web vulnerables. Es probable que el atacante haya funcionado como intermediario de acceso, entregando el acceso a un tercero para implementar ransomware, en múltiples instancias.

En septiembre de 2021, Citrix reveló una vulnerabilidad de Path Traversal en el componente ShareFile Zones Storage Controller, designada como CVE-2021-22941. Poco después, los investigadores de seguridad demostraron un exploit de prueba de concepto (PoC) para dicho CVE. La vulnerabilidad permite que un atancate sobrescriba un archivo existente en un servidor de destino a través de un parámetro uploadid pasado en una solicitud HTTP GET lo cual permitiría a un atacante realizar ejecución de código remoto (RCE) en el sistema afectado.

Como ha informado CrowdStrike Intelligence, Prophet Spider es un grupo cibercriminal que explota las vulnerabilidades públicas con el objetivo de inyectar webshells. Esto demuestra las intenciones del grupo de seguir mejorando y realizando nuevos exploits con el objetivo de atacar la mayor cantidad de servidores vulnerables posible.

Se recomienda descargar e instalar la última actualización de Citrix ShareFile Storage Zone Controller proveída por el fabricante:

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11