Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
1005
)
-
▼
febrero
(Total:
325
)
-
El interior del primer Ferrari 100% eléctrico dise...
-
España propone un impuesto a las empresas que usen...
-
Cómo podría estar tu móvil agotando tu tarifa de d...
-
Ethernet ultra: la interconexión de centros de dat...
-
Aparece una NVIDIA GeForce RTX 3080 Ti con 20 GB d...
-
Linus Torvalds confirma que Linux Kernel 7.0 está ...
-
La burbuja de la DDR4 comienza a mostrar signos de...
-
Tras el primer robot biomimético que imita al ser ...
-
Si tu impresora es antigua, Windows 11 puede dejar...
-
Dolby Vision y HDR10+ desaparecen de Disney+ en Eu...
-
Francia revoluciona la guerra con la primera fábri...
-
Vulnerabilidad de RCE con cero clics en extensione...
-
Nuevo ataque LTX basado en Node.js roba credencial...
-
Vulnerabilidad en Roundcube permite a atacantes ra...
-
El Bizum europeo es una realidad: 13 países y pago...
-
Qué son las «VPN milagro» y por qué pueden suponer...
-
La NASA está considerando salvar la Estación Espac...
-
Ni España ni Francia quieren a Elon Musk: el algor...
-
AYANEO NEXT 2: la consola más potente, con mayor b...
-
¿Cuál es el lugar más tecnológico de España? Así e...
-
32GB es la cantidad de memoria RAM que debes tener...
-
Nueva herramienta RecoverIt aprovecha fallos en fu...
-
Impresión 3D con uno de los materiales más duros d...
-
China crea un arma de microondas de alta potencia ...
-
Tim Cook da pistas sobre cómo celebrarán el 50 Ani...
-
Ciberdelincuentes usan cuentas gratuitas de Fireba...
-
DNS Privado Adguard en Android bloquea anuncios si...
-
OpenClaw, nuevo blanco en ola de ataques de envene...
-
OpenClaw integra el escaneo de VirusTotal para det...
-
Snapdragon X2 Elite vs Ryzen AI 9 HX 370 o Core Ul...
-
Tu router WiFi podría estar espiándote sin que lo ...
-
Nvidia ahora produce tres veces más código que ant...
-
Intel Core Ultra 5 250K Plus debuta en Geekbench c...
-
Qué ocurre con FSR4 para Radeon RX 6000 y Radeon R...
-
Los Intel Core Ultra G3 (Panther Lake para consola...
-
Alertan de una campaña que afecta a quienes pagan ...
-
Filtraciones de Panther Lake-H, Wildcat Lake y Nov...
-
Intel Nova Lake-S para PC tendrá 5 chipset distint...
-
MSI Roamii BE Pro: análisis del routerr Wi-Fi 7 mesh
-
Taiwán descarta transferir el 40% de su capacidad ...
-
La campaña publicitaria de 85 millones de dólares ...
-
Vulnerabilidad crítica en FortiClientEMS permite a...
-
AYANEO NEXT 2, la consola portátil más cara del mundo
-
Corte de energía en centro de datos de Microsoft i...
-
Actores de Black Basta integran componente de evas...
-
Detección de ransomware con minifiltro de Windows ...
-
NVIDIA podría lanzar una GeForce RTX 5090 Ti o RTX...
-
LocalGPT: un asistente de IA seguro para dispositi...
-
Si tu ex novia te rompe la GPU, debes saber que in...
-
Cuál es el alcance máximo de un rastreador de obje...
-
Vibe Coding: Aumentar la productividad sin aumenta...
-
Windows 11 se consolida como el sistema operativo ...
-
Irán abandona el GPS de Estados Unidos y se pasa a...
-
La fiebre de la IA obliga a Raspberry Pi a rediseñ...
-
Crean un páncreas artificial "vivo" que podría dec...
-
El precio de los portátiles Intel Panther Lake se ...
-
Las RTX 60 se retrasan hasta finales de 2027 en ve...
-
Los sistemas de refrigeración de CPU y GPU serán h...
-
nmapUnleashed facilita y mejora los escaneos con Nmap
-
Un YouTuber chino crea un bloque de agua integrado...
-
Intel habría cancelado su Core Ultra 9 290K Plus: ...
-
CISA otorga un año para retirar los dispositivos a...
-
Anthropic invierte millones de dólares para aparec...
-
¿5G, 4G o Wi-Fi? La ciencia explica qué conexión a...
-
Las placas con Intel LGA1700 sufren sobrepresión p...
-
Apple lanzará el iPhone 17e un día después de lleg...
-
Aplicaciones clonadas en Fire TV: qué son, cómo fu...
-
Flickr confirma filtración de datos: 35 millones d...
-
Exposición masiva de datos en clúster de Elasticse...
-
Europa, espiada: dos satélites rusos podrían haber...
-
Mil millones de móviles Android expuestos a una am...
-
La botnet AISURU/Kimwolf lanza un ataque DDoS réco...
-
Intel y AMD avisan en China: retrasos de hasta 6 m...
-
MSI Afterburner añade protección activa para las R...
-
Condenado a 16 años de cárcel por colaborar con la...
-
AMD muestra cómo crear música de alta calidad con ...
-
La Comisión Europea considera que el "diseño adict...
-
eBPF: observabilidad sin sobrecarga en Linux
-
ShadowSyndicate usa técnica de transición de servi...
-
Las NVIDIA GeForce RTX 60 Series se habrían retras...
-
Fallos de phishing y tokens OAuth permiten el comp...
-
El Samsung Galaxy S26 Ultra supera al iPhone 17 Pr...
-
Apple presentaría un MacBook económico por un prec...
-
Campaña de spam distribuye PDFs falsos e instala h...
-
La traducción en tiempo real llega a Google Meet e...
-
Usan el salvapantallas de Windows para desplegar h...
-
CISA advierte sobre vulnerabilidad de inyección de...
-
La IA gana la partida a los jugadores: tarjetas gr...
-
China presume de un arma de microondas que podría ...
-
Confirman que la carga inalámbrica puede deteriora...
-
Emuladores legales para tener una consola con mile...
-
F5 corrige vulnerabilidades críticas en BIG-IP, NG...
-
Vulnerabilidad en CentOS 9 permite a atacantes esc...
-
Herramienta de Epstein busca conexiones en LinkedI...
-
ASUS ROG Strix Aiolos, máximo nivel para un SSD ex...
-
Las autoridades holandesas incautaron servidores d...
-
Lo nuevo de OpenAI es GPT-5.3-Codex, un modelo de ...
-
El 35% de los usuarios encuestados en EE.UU. no ti...
-
Se espera una subida de precio de los SSD, junto a...
-
Vulnerabilidad en cliente VPN WatchGuard para Wind...
-
-
▼
febrero
(Total:
325
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Symbian , el sistema operativo de Nokia, volverá a estar disponible en 2026 tras años de dominio en móviles, reviviendo uno de sus modelos ... -
nmapUnleashed se presenta como un potente envoltorio CLI que mejora las capacidades de Nmap para penetration testers y auditores de redes .... -
ClothOff es una app que utiliza inteligencia artificial generativa para desnudar a cualquier persona a partir de fotografías con ropa que...
Escanean infraestructura Citrix NetScaler para hallar paneles de inicio de sesión
Una campaña de reconocimiento a gran escala dirigida a la infraestructura de Citrix ADC Gateway y NetScaler Gateway fue detectada entre el 28 de enero y el 2 de febrero de 2026 por la GreyNoise Global Observation Grid. La operación coordinada combinó la rotación de proxies residenciales para el descubrimiento de paneles de inicio de sesión con escaneos concentrados de divulgación de versiones alojados en AWS, generando más de 111,834 sesiones desde más de 63,000 direcciones IP únicas.]
Se detectó una campaña de reconocimiento a gran escala dirigida a la infraestructura de Citrix ADC Gateway y NetScaler Gateway entre el 28 de enero y el 2 de febrero de 2026, por parte de la GreyNoise Global Observation Grid.
La operación coordinada combinó la rotación de proxies residenciales para descubrir paneles de inicio de sesión con escaneos concentrados de divulgación de versiones alojados en AWS, generando más de 111,834 sesiones desde más de 63,000 direcciones IP únicas.
La campaña demuestra capacidades sofisticadas de mapeo de infraestructura, logrando una tasa de focalización del 79% contra honeypots de Citrix Gateway, superando significativamente el ruido de escaneo base e indicando un reconocimiento deliberado en lugar de un rastreo oportunista.
Los actores de amenazas operaron dos modos de ataque complementarios simultáneamente, lo que sugiere una preparación coordinada para actividades de explotación dirigidas a vulnerabilidades conocidas de Citrix.
La operación de reconocimiento se dividió en dos campañas distintas pero coordinadas, con objetivos e infraestructuras diferentes. El modo de descubrimiento de paneles de inicio de sesión generó 109,942 sesiones desde 63,189 IPs de origen, distribuidas en redes de proxies residenciales e infraestructura de Azure, apuntando específicamente al endpoint /logon/LogonPoint/index.html.
En contraste, la campaña de divulgación de versiones produjo 1,892 sesiones desde solo 10 direcciones IP de AWS concentradas en las regiones us-west-1 y us-west-2, enfocándose en la ruta del archivo /epa/scripts/win/nsepa_setup.exe.
Ambas campañas se activaron simultáneamente justo antes del 1 de febrero y se dirigieron exclusivamente a la infraestructura de Citrix, con los objetivos complementarios de descubrir paneles de inicio de sesión expuestos y enumerar versiones de software.
Escaneos activos en busca de paneles de inicio de sesión de Citrix NetScaler
Este enfoque de doble vertiente refleja tácticas observadas en campañas anteriores de explotación de Citrix, donde los atacantes mapearon instancias vulnerables antes de desplegar exploits.
Una sola dirección IP de Microsoft Azure Canadá (52.139.3[.]76) generó 39,461 sesiones, representando el 36% de todo el tráfico de paneles de inicio de sesión, utilizando el string de agente de usuario Prometheus blackbox-exporter.
Aunque este agente de usuario puede ser falsificado y es fácilmente detectable, el resto del tráfico provino de redes residenciales de ISP en Vietnam, Argentina, México, Argelia, Irak y numerosos otros países, con cada IP realizando solo una sesión.
Esta técnica de rotación de proxies residenciales emplea huellas digitales únicas de navegador para cada conexión, permitiendo un ciclo continuo tanto de direcciones IP como de strings de agente de usuario.
Estas direcciones legítimas de ISP de consumo evitan los bloqueos geográficos y los sistemas de filtrado por reputación, ya que las organizaciones son reacias a bloquear tráfico potencial de clientes.
La naturaleza distribuida hace que la detección y mitigación sean significativamente más difíciles que en las campañas de escaneo tradicionales.
El componente de divulgación de versiones ejecutó un sprint de escaneo concentrado de seis horas el 1 de febrero, con 10 direcciones IP de AWS enviando 1,892 solicitudes dirigidas al archivo de configuración de Análisis de Punto Final (EPA) de Citrix.
La campaña alcanzó su punto máximo a las 02:00 UTC con 362 sesiones, comenzando a las 00:00 UTC con 192 sesiones y concluyendo a las 05:00 UTC con 283 sesiones. Las 10 IPs de origen utilizaron un agente de usuario idéntico de Chrome 50 de 2016 y compartieron características uniformes de huella HTTP.
El inicio y finalización rápidos de este sprint de escaneo sugieren un evento desencadenante, potencialmente tras el descubrimiento de configuraciones EPA vulnerables o inteligencia sobre ventanas de despliegue específicas.
El enfoque en archivos específicos de versiones sugiere interés en explotar o validar vulnerabilidades contra debilidades conocidas de Citrix ADC y NetScaler Gateway, incluyendo vulnerabilidades críticas recientes como CVE-2025-5777 (Citrix Bleed 2).
El análisis de la capa TCP reveló una separación clara de infraestructura entre los tres componentes del ataque. El escáner dominante de Azure mostró encapsulación anidada de VPN/túnel con un tamaño máximo de segmento (MSS) reducido en 62 bytes por debajo del estándar, demostrando que los operadores enrutaron el tráfico de escaneo a través de una capa de red adicional por seguridad operativa.
El tráfico distribuido de proxies residenciales exhibió características de pila TCP de Windows con tamaños máximos de ventana de 16 bits, enrutados a través de infraestructura de proxy basada en Linux, lo que indica clientes Windows conectándose a través de servidores proxy Linux.
Los escáneres de versiones de AWS mostraron valores MSS de jumbo frames 45 veces más grandes que el estándar de Ethernet, requiriendo infraestructura de conmutación de centros de datos con soporte MTU de más de 9,000 bytes, físicamente imposible en redes de consumo.
A pesar de estos diferentes tipos de infraestructura, todas las huellas compartieron un orden idéntico de opciones TCP, lo que indica herramientas o marcos comunes bajo la compartimentación operativa. Esto sugiere un solo actor de amenazas o grupo coordinado utilizando infraestructura de escaneo modular adaptada para diferentes objetivos de reconocimiento.
Esta actividad de reconocimiento probablemente representa un mapeo de infraestructura previo a intentos de explotación activos. El enfoque específico en la ruta del archivo de configuración EPA sugiere interés en el desarrollo de exploits específicos para versiones o la validación de vulnerabilidades contra debilidades conocidas de Citrix ADC, particularmente vulnerabilidades críticas recientes que permiten eludir la autenticación y la ejecución remota de código.
Las organizaciones deben implementar medidas inmediatas de detección y defensa, incluyendo el monitoreo de agentes de usuario blackbox-exporter desde fuentes no autorizadas, alertas sobre acceso externo a /epa/scripts/win/nsepa_setup.exe y la identificación de patrones rápidos de enumeración de /logon/LogonPoint/. Otros indicadores incluyen solicitudes HEAD a endpoints de Citrix Gateway y huellas de navegador obsoletas como Chrome 50 de 2016.
Las recomendaciones defensivas incluyen revisar la exposición externa de Citrix Gateway para validar la necesidad empresarial de despliegues accesibles desde Internet, implementar requisitos de autenticación para el directorio /epa/scripts/ y configurar los Citrix Gateways para suprimir la divulgación de versiones en las respuestas HTTP. Las organizaciones también deben marcar anomalías de acceso desde ISP residenciales en regiones geográficas inesperadas.
Indicadores de compromiso
Campaña de divulgación de versiones (Infraestructura AWS):
- 44.251.121[.]190
- 13.57.253[.]3
- 50.18.232[.]85
- 52.36.139[.]223
- 54.201.20[.]56
- 54.153.0[.]164
- 54.176.178[.]13
- 18.237.26[.]188
- 54.219.42[.]163
- 18.246.164[.]162
Descubrimiento de paneles de inicio de sesión (Infraestructura Azure):
- 52.139.3[.]76
Las organizaciones que operan infraestructura de Citrix ADC Gateway o NetScaler Gateway deben revisar inmediatamente los registros de acceso en busca de conexiones desde estas direcciones IP e implementar un monitoreo mejorado para patrones similares de reconocimiento.
Fuentes:
https://cybersecuritynews.com/scanning-citrix-netscaler-login/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.