Hackers exploram ativamente a vulnerabilidade de Zero-Day do Citrix ADC e Gateway
Agência de Segurança Nacional dos EUA (NSA) disse na terça-feira que um agente de ameaça rastreado como APT5 tem explorado ativamente uma falha de Zero-Day no Citrix Application Delivery Controller (ADC) e no Gateway para assumir os sistemas afetados.
A vulnerabilidade crítica de execução remota de código, identificada como CVE-2022-27518, pode permitir que um invasor não autenticado execute comandos remotamente em dispositivos vulneráveis e assuma o controle.
A exploração bem-sucedida, no entanto, requer que o dispositivo Citrix ADC ou Citrix Gateway seja configurado como um provedor de serviços SAML (SP) ou um provedor de identidade SAML (IdP).
As seguintes versões com suporte do Citrix ADC e do Citrix Gateway são afetadas pela vulnerabilidade:
Citrix ADC e Citrix Gateway 13.0 antes de 13.0-58.32
Citrix ADC e Citrix Gateway 12.1 antes de 12.1-65.25
Citrix ADC 12.1-FIPS antes de 12.1-55.291
Citrix ADC 12.1-NDcPP antes de 12.1-55.291
As versões 13.1 do Citrix ADC e do Citrix Gateway não são afetadas. A empresa também informou que não há soluções disponíveis “além de desabilitar a autenticação SAML ou atualizar para uma versão atual”.
O provedor de serviços de virtualização informou que está ciente de um “pequeno número de ataques direcionados à solta” usando a falha, pedindo aos clientes que apliquem o patch mais recente aos sistemas não mitigados.
Acredita-se que o APT5, também conhecido como Bronze Fleetwood, Keyhole Panda, Manganese e UNC2630, opere em nome de interesses chineses. No ano passado, a Mandiant revelou atividades de espionagem direcionadas a verticais alinhadas com as prioridades do governo descritas no 14º Plano Quinquenal da China.
Esses ataques envolveram o abuso de uma falha então divulgada nos dispositivos Pulse Secure VPN (CVE-2021-22893, pontuação CVSS: 10.0) para implantar web shells maliciosos e exfiltrar informações valiosas de redes corporativas.
“O APT5 demonstrou recursos contra implantações do Citrix Application Delivery Controller”, relatou a NSA. “O direcionamento de Citrix ADCs pode facilitar o acesso ilegítimo a organizações visadas, contornando os controles normais de autenticação.”
A Microsoft, no mês passado, apontou o histórico dos agentes de ameaças chineses de descobrir e usar Zero-Days a seu favor antes de ser pego por outros coletivos adversários em estado primário.
A notícia do bug Citrix também chega um dia depois que a Fortinet revelou uma vulnerabilidade grave que também facilita a execução remota de código em dispositivos FortiOS SSL-VPN (CVE-2022-42475, pontuação CVSS: 9,3).
VMWare lança atualizações para vulnerabilidades de execução de código
Em um desenvolvimento relacionado, a VMware divulgou detalhes de duas falhas críticas que afetam ESXi, Fusion, Workstation e vRealize Network Insight (vRNI) que podem resultar em injeção de comando e execução de código.
CVE-2022-31702 (pontuação CVSS: 9,8) – Vulnerabilidade de injeção de comando em vRNI
CVE-2022-31703 (pontuação CVSS: 7,5) – Vulnerabilidade de travessia de diretório no vRNI
CVE-2022-31705 (pontuação CVSS: 5,9/9,3) – Vulnerabilidade de gravação fora dos limites de heap no controlador EHCI
“No ESXi, a exploração está contida na caixa de proteção VMX, enquanto no Workstation e no Fusion, isso pode levar à execução de código na máquina onde o Workstation ou o Fusion está instalado”, informou a empresa em um boletim de segurança para CVE-2022-31705.
Este artigo é uma tradução de: https://thehackernews.com/2022/12/hackers-actively-exploiting-citrix-adc.html (Autor: Ravie Lakshmanan)
