Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
852
)
-
▼
febrero
(Total:
172
)
-
Registran la sede de X en Francia, y Elon Musk lla...
-
Microsoft Outlook ha estado enviando tus datos a J...
-
Docks Thunderbolt 4 añaden versatilidad a portátiles
-
Un jugador consigue la potente RTX 5080 de Nvidia ...
-
Hackeo DNS en la sombra, desviar el tráfico de int...
-
Nueva Xbox en 2027: el siguiente salto en gaming d...
-
AMD generó ingresos récord, pero sus acciones se d...
-
"La mayoría de ustedes roba su software" — Bill Ga...
-
Investigadores usan IA autónoma para supervisar y ...
-
Microsoft da marcha atrás y dejará de meter lA en ...
-
Western Digital rompe los límites del HDD: HAMR, e...
-
Adiós a las tarjetas gráficas de 16 GB: AMD se rin...
-
Escanean infraestructura Citrix NetScaler para hal...
-
Nueva oleada de "cartas de amor IPTV" de Javier Te...
-
Elon Musk afirma que el Optimus de Tesla podrá con...
-
Vulnerabilidades en navegador Google Chrome permit...
-
Cómo usar los subdominios de Gmail para saber qué ...
-
AMD confirma la fecha de lanzamiento para Xbox Mag...
-
Nvidia mantiene su acuerdo con OpenAI tras los rum...
-
Vulnerabilidad en Ingress-Nginx de Kubernetes perm...
-
Intel vuelve al sector de la memoria para ayudar a...
-
Una patente de Sony muestra el uso de la IA genera...
-
La NVIDIA GeForce RTX 4060 es ya la GPU más utiliz...
-
AMD va de récord en récord: +34% en ingresos total...
-
La CEO de AMD resta importancia a la escasez de me...
-
ChatGPT se cae durante unas horas
-
Análisis del teléfono Honor Magic 8 Lite
-
La Fiscalía registra la sede de la red social X en...
-
Vulnerabilidades críticas en Django permiten ataqu...
-
CISA advierte sobre vulnerabilidad de ejecución re...
-
Vulnerabilidades en Foxit PDF Editor permiten a at...
-
La CPU China Loongson-3B6000 frente a las últimas ...
-
Los Intel Core Ultra 200S Plus aparecen a precios ...
-
Los drones podrán volar permanentemente sin necesi...
-
Vulnerabilidades, errores y ataques varios a OpenC...
-
Las autoridades francesas allanan la oficina de X ...
-
Microsoft desactivará NTLM por defecto para una au...
-
Cómo comprobar si tu barrio, pueblo o ciudad está ...
-
Variante PDFly usa modificación personalizada de P...
-
Mozilla presenta un interruptor para desactivar to...
-
ChatGPT detectará malware, virus y estafas gracias...
-
Aplicación maliciosa en Google Play con más de 50....
-
Agentes de IA OpenClaw abusados por actores malici...
-
Vulnerabilidad en puntos de acceso inalámbricos Hi...
-
Intel presenta los esperados procesadores Xeon 600
-
AMD confirma que sus CPU Zen 6 usarán FRED para Vi...
-
Las Raspberry Pi suben de precio en hasta un 41% p...
-
Western Digital presenta un disco duro de 40TB que...
-
No solo Grok: las tiendas de Apple y Google están ...
-
El dilema de las gafas inteligentes y las denuncia...
-
La Nintendo Switch superar a DS como la consola má...
-
Terremoto en la IA: OpenAI explora alternativas a ...
-
Pedro Sánchez anuncia que España prohibirá definit...
-
Movistar cierra una red IPTV ilegal que usaba enla...
-
Cómo de malos son los SSDs falsificados: la difere...
-
El precio de la RAM y de los SSDs va a subir más d...
-
PS6 portátil tendrá una GPU AMD RDNA 5 compatible ...
-
Europol a las IPTV piratas: tres servicios con 100...
-
Vulnerabilidad crítica de bypass de autenticación ...
-
Elon Musk fusiona SpaceX con xAI para empezar el c...
-
No más IA en el navegador: el nuevo botón de Firef...
-
Consola portátil AYANEO Pocket S Mini, retro, bara...
-
Detectada campaña en Windows que combina Pulsar RA...
-
Intel presenta los Xeon 600 «Granite Rapids» para ...
-
Tim Cook revela cuál es el truco de IA que los usu...
-
Análisis cámara Sony Alpha 7 V: una 'mirroless' rá...
-
Vulnerabilidad en Apache Syncope permite a atacant...
-
El uso de la IA en el trabajo casi se ha triplicad...
-
El iPhone plegable Mini toma fuerza y podría ser l...
-
Windows 11 añade opción que limita el acceso a los...
-
Todo el mundo habla de que los smartphones provoca...
-
Grupo ruso APT28 explota fallo 0-day de Microsoft ...
-
SpaceX compra xAI y X, Elon Musk mira a las estrel...
-
Vulnerabilidad en Clawdbot de un clic permite ataq...
-
Apple admite limitaciones por el suministro de chi...
-
Los programadores se rinden y lo admiten: "Es el f...
-
Google quiere que uses tu móvil hasta 7 años y así...
-
China despliega los primeros policías robot en sus...
-
Samsung, SK Hynix y Micron se unen para evitar el ...
-
Los agentes de IA crean una red social tipo Reddit...
-
Si vas a vender tu viejo portátil, formatear el di...
-
La IA Claude ya trabaja en Marte: ha planificado d...
-
Windows 11 bloquea acceso no autorizado a archivos...
-
Actores patrocinados por el Estado Chino secuestra...
-
Un usuario compró una RTX 3080 Ti en una tienda al...
-
Ashes of Creation se desmorona a los 52 días de su...
-
NVIDIA vuelve a reponer el stock de RTX 5090 y RTX...
-
Bitcoin pierde el 40% de su valor: "No se recupera...
-
Adiós a los televisores 8K: LG deja de fabricarlos
-
La batería que mantiene tu móvil frío ya está en c...
-
Google detecta gran expansión en la actividad de l...
-
Intel empata con AMD como las CPU más fiables en 2...
-
Calibre salta a su versión 9, estas son sus novedades
-
Las acciones de SanDisk han subido un 1.242% en me...
-
Los resultados de selección de 13 Ryzen 7 9850X3D ...
-
Empresas atribuyen ataques de ransomware al hackeo...
-
Un Samsung 990 Pro falso supera pruebas básicas pe...
-
La app de Home Assistant ahora bloquea las conexio...
-
Emiratos Árabes están enterrando millones de litro...
-
Alianza de rusos ataca Dinamarca en ciberataque DD...
-
-
▼
febrero
(Total:
172
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
El reproductor VLC permite ver más de 1.800 canales de TV de todo el mundo gratis y legalmente mediante listas M3U , transformando cualqu... -
La comunidad del kernel de Linux ha elaborado un plan de contingencia para reemplazar a Linus Torvalds en caso de que sea necesario. Este... -
ClothOff es una app que utiliza inteligencia artificial generativa para desnudar a cualquier persona a partir de fotografías con ropa que...
Escanean infraestructura Citrix NetScaler para hallar paneles de inicio de sesión
Una campaña de reconocimiento a gran escala dirigida a la infraestructura de Citrix ADC Gateway y NetScaler Gateway fue detectada entre el 28 de enero y el 2 de febrero de 2026 por la GreyNoise Global Observation Grid. La operación coordinada combinó la rotación de proxies residenciales para el descubrimiento de paneles de inicio de sesión con escaneos concentrados de divulgación de versiones alojados en AWS, generando más de 111,834 sesiones desde más de 63,000 direcciones IP únicas.]
Se detectó una campaña de reconocimiento a gran escala dirigida a la infraestructura de Citrix ADC Gateway y NetScaler Gateway entre el 28 de enero y el 2 de febrero de 2026, por parte de la GreyNoise Global Observation Grid.
La operación coordinada combinó la rotación de proxies residenciales para descubrir paneles de inicio de sesión con escaneos concentrados de divulgación de versiones alojados en AWS, generando más de 111,834 sesiones desde más de 63,000 direcciones IP únicas.
La campaña demuestra capacidades sofisticadas de mapeo de infraestructura, logrando una tasa de focalización del 79% contra honeypots de Citrix Gateway, superando significativamente el ruido de escaneo base e indicando un reconocimiento deliberado en lugar de un rastreo oportunista.
Los actores de amenazas operaron dos modos de ataque complementarios simultáneamente, lo que sugiere una preparación coordinada para actividades de explotación dirigidas a vulnerabilidades conocidas de Citrix.
La operación de reconocimiento se dividió en dos campañas distintas pero coordinadas, con objetivos e infraestructuras diferentes. El modo de descubrimiento de paneles de inicio de sesión generó 109,942 sesiones desde 63,189 IPs de origen, distribuidas en redes de proxies residenciales e infraestructura de Azure, apuntando específicamente al endpoint /logon/LogonPoint/index.html.
En contraste, la campaña de divulgación de versiones produjo 1,892 sesiones desde solo 10 direcciones IP de AWS concentradas en las regiones us-west-1 y us-west-2, enfocándose en la ruta del archivo /epa/scripts/win/nsepa_setup.exe.
Ambas campañas se activaron simultáneamente justo antes del 1 de febrero y se dirigieron exclusivamente a la infraestructura de Citrix, con los objetivos complementarios de descubrir paneles de inicio de sesión expuestos y enumerar versiones de software.
Escaneos activos en busca de paneles de inicio de sesión de Citrix NetScaler
Este enfoque de doble vertiente refleja tácticas observadas en campañas anteriores de explotación de Citrix, donde los atacantes mapearon instancias vulnerables antes de desplegar exploits.
Una sola dirección IP de Microsoft Azure Canadá (52.139.3[.]76) generó 39,461 sesiones, representando el 36% de todo el tráfico de paneles de inicio de sesión, utilizando el string de agente de usuario Prometheus blackbox-exporter.
Aunque este agente de usuario puede ser falsificado y es fácilmente detectable, el resto del tráfico provino de redes residenciales de ISP en Vietnam, Argentina, México, Argelia, Irak y numerosos otros países, con cada IP realizando solo una sesión.
Esta técnica de rotación de proxies residenciales emplea huellas digitales únicas de navegador para cada conexión, permitiendo un ciclo continuo tanto de direcciones IP como de strings de agente de usuario.
Estas direcciones legítimas de ISP de consumo evitan los bloqueos geográficos y los sistemas de filtrado por reputación, ya que las organizaciones son reacias a bloquear tráfico potencial de clientes.
La naturaleza distribuida hace que la detección y mitigación sean significativamente más difíciles que en las campañas de escaneo tradicionales.
El componente de divulgación de versiones ejecutó un sprint de escaneo concentrado de seis horas el 1 de febrero, con 10 direcciones IP de AWS enviando 1,892 solicitudes dirigidas al archivo de configuración de Análisis de Punto Final (EPA) de Citrix.
La campaña alcanzó su punto máximo a las 02:00 UTC con 362 sesiones, comenzando a las 00:00 UTC con 192 sesiones y concluyendo a las 05:00 UTC con 283 sesiones. Las 10 IPs de origen utilizaron un agente de usuario idéntico de Chrome 50 de 2016 y compartieron características uniformes de huella HTTP.
El inicio y finalización rápidos de este sprint de escaneo sugieren un evento desencadenante, potencialmente tras el descubrimiento de configuraciones EPA vulnerables o inteligencia sobre ventanas de despliegue específicas.
El enfoque en archivos específicos de versiones sugiere interés en explotar o validar vulnerabilidades contra debilidades conocidas de Citrix ADC y NetScaler Gateway, incluyendo vulnerabilidades críticas recientes como CVE-2025-5777 (Citrix Bleed 2).
El análisis de la capa TCP reveló una separación clara de infraestructura entre los tres componentes del ataque. El escáner dominante de Azure mostró encapsulación anidada de VPN/túnel con un tamaño máximo de segmento (MSS) reducido en 62 bytes por debajo del estándar, demostrando que los operadores enrutaron el tráfico de escaneo a través de una capa de red adicional por seguridad operativa.
El tráfico distribuido de proxies residenciales exhibió características de pila TCP de Windows con tamaños máximos de ventana de 16 bits, enrutados a través de infraestructura de proxy basada en Linux, lo que indica clientes Windows conectándose a través de servidores proxy Linux.
Los escáneres de versiones de AWS mostraron valores MSS de jumbo frames 45 veces más grandes que el estándar de Ethernet, requiriendo infraestructura de conmutación de centros de datos con soporte MTU de más de 9,000 bytes, físicamente imposible en redes de consumo.
A pesar de estos diferentes tipos de infraestructura, todas las huellas compartieron un orden idéntico de opciones TCP, lo que indica herramientas o marcos comunes bajo la compartimentación operativa. Esto sugiere un solo actor de amenazas o grupo coordinado utilizando infraestructura de escaneo modular adaptada para diferentes objetivos de reconocimiento.
Esta actividad de reconocimiento probablemente representa un mapeo de infraestructura previo a intentos de explotación activos. El enfoque específico en la ruta del archivo de configuración EPA sugiere interés en el desarrollo de exploits específicos para versiones o la validación de vulnerabilidades contra debilidades conocidas de Citrix ADC, particularmente vulnerabilidades críticas recientes que permiten eludir la autenticación y la ejecución remota de código.
Las organizaciones deben implementar medidas inmediatas de detección y defensa, incluyendo el monitoreo de agentes de usuario blackbox-exporter desde fuentes no autorizadas, alertas sobre acceso externo a /epa/scripts/win/nsepa_setup.exe y la identificación de patrones rápidos de enumeración de /logon/LogonPoint/. Otros indicadores incluyen solicitudes HEAD a endpoints de Citrix Gateway y huellas de navegador obsoletas como Chrome 50 de 2016.
Las recomendaciones defensivas incluyen revisar la exposición externa de Citrix Gateway para validar la necesidad empresarial de despliegues accesibles desde Internet, implementar requisitos de autenticación para el directorio /epa/scripts/ y configurar los Citrix Gateways para suprimir la divulgación de versiones en las respuestas HTTP. Las organizaciones también deben marcar anomalías de acceso desde ISP residenciales en regiones geográficas inesperadas.
Indicadores de compromiso
Campaña de divulgación de versiones (Infraestructura AWS):
- 44.251.121[.]190
- 13.57.253[.]3
- 50.18.232[.]85
- 52.36.139[.]223
- 54.201.20[.]56
- 54.153.0[.]164
- 54.176.178[.]13
- 18.237.26[.]188
- 54.219.42[.]163
- 18.246.164[.]162
Descubrimiento de paneles de inicio de sesión (Infraestructura Azure):
- 52.139.3[.]76
Las organizaciones que operan infraestructura de Citrix ADC Gateway o NetScaler Gateway deben revisar inmediatamente los registros de acceso en busca de conexiones desde estas direcciones IP e implementar un monitoreo mejorado para patrones similares de reconocimiento.
Fuentes:
https://cybersecuritynews.com/scanning-citrix-netscaler-login/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.