Uma falha de execução remota de código não autenticada (CVE-2022-27518) está sendo aproveitada por um grupo patrocinado pelo estado chinês para comprometer as implantações do Citrix Application Delivery Controller (ADC), alertou a Agência de Segurança Nacional dos EUA . “O direcionamento de Citrix ADCs pode facilitar o acesso ilegítimo a organizações visadas, contornando os controles normais de autenticação.”
Sobre CVE-2022-27518
O CVE-2022-27518 decorre da falha do software dos dispositivos vulneráveis em manter o controle sobre um recurso ao longo de sua vida útil (criação, uso e liberação) e oferece aos invasores remotos a oportunidade de executar código arbitrário (sem autenticação prévia) em dispositivos vulneráveis.
A falha de dia zero afeta tanto o Citrix ADC, que geralmente é aproveitado para balanceamento de carga, acesso remoto seguro a aplicativos Citrix Virtual Apps and Desktops, quanto o Citrix Gateway, uma solução segura de acesso remoto com recursos de gerenciamento de identidade e acesso, que também fornece assinatura única -on para vários aplicativos hospedados.
O boletim de segurança da Citrix lista as versões com e sem suporte afetadas e observa que apenas os dispositivos Citrix ADC e Citrix Gateway gerenciados pelo cliente exigem uma atualização rápida.
A empresa também lista uma pré-condição para exploração: apenas Citrix ADCs e Citrix Gateways configurados como SAML SP (provedor de serviços) ou SAML IdP (provedor de identidade) estão em risco e devem ser atualizados rapidamente.
Exploração selvagem
A NSA publicou orientações de busca de ameaças para ajudar as organizações a investigar se seus ambientes Citrix ADC foram comprometidos e atribuiu ataques observados ao APT5 (também conhecido como UNC2630, também conhecido como MANGANESE).
Por mais de uma década, o APT5 tem visado e violado organizações em vários setores, mas especialmente empresas de telecomunicações e tecnologia. O grupo já era conhecido por explorar vulnerabilidades em produtos VPN da Fortinet, Palo Alto Networks e Pulse Secure.
“Atualize para a versão mais recente do Citrix, verifique se há comprometimento e informe-nos se encontrar algo”, disse o diretor de segurança cibernética da NSA, Rob Joyce, após o lançamento da orientação.
FONTE: HELPNET SECURITY