Os invasores patrocinados pelo estado que exploram ativamente o RCE em dispositivos Citrix, corrijam o mais rápido possível! (CVE-2022-27518)

Início » Cibersegurança » Os invasores patrocinados pelo estado que exploram ativamente o RCE em dispositivos Citrix, corrijam o mais rápido possível! (CVE-2022-27518)

Read Time:1 Minute, 48 Second

Uma falha de execução remota de código não autenticada (CVE-2022-27518) está sendo aproveitada por um grupo patrocinado pelo estado chinês para comprometer as implantações do Citrix Application Delivery Controller (ADC), alertou a Agência de Segurança Nacional dos EUA . “O direcionamento de Citrix ADCs pode facilitar o acesso ilegítimo a organizações visadas, contornando os controles normais de autenticação.”

Sobre CVE-2022-27518

O CVE-2022-27518 decorre da falha do software dos dispositivos vulneráveis em manter o controle sobre um recurso ao longo de sua vida útil (criação, uso e liberação) e oferece aos invasores remotos a oportunidade de executar código arbitrário (sem autenticação prévia) em dispositivos vulneráveis.

A falha de dia zero afeta tanto o Citrix ADC, que geralmente é aproveitado para balanceamento de carga, acesso remoto seguro a aplicativos Citrix Virtual Apps and Desktops, quanto o Citrix Gateway, uma solução segura de acesso remoto com recursos de gerenciamento de identidade e acesso, que também fornece assinatura única -on para vários aplicativos hospedados.

O boletim de segurança da Citrix lista as versões com e sem suporte afetadas e observa que apenas os dispositivos Citrix ADC e Citrix Gateway gerenciados pelo cliente exigem uma atualização rápida.

A empresa também lista uma pré-condição para exploração: apenas Citrix ADCs e Citrix Gateways configurados como SAML SP (provedor de serviços) ou SAML IdP (provedor de identidade) estão em risco e devem ser atualizados rapidamente.

Exploração selvagem

A NSA publicou orientações de busca de ameaças para ajudar as organizações a investigar se seus ambientes Citrix ADC foram comprometidos e atribuiu ataques observados ao APT5 (também conhecido como UNC2630, também conhecido como MANGANESE).

Por mais de uma década, o APT5 tem visado e violado organizações em vários setores, mas especialmente empresas de telecomunicações e tecnologia. O grupo já era conhecido por explorar vulnerabilidades em produtos VPN da Fortinet, Palo Alto Networks e Pulse Secure.

“Atualize para a versão mais recente do Citrix, verifique se há comprometimento e informe-nos se encontrar algo”, disse o diretor de segurança cibernética da NSA, Rob Joyce, após o lançamento da orientação.

FONTE: HELPNET SECURITY