Citrix, yöneticileri, devlet destekli bilgisayar korsanları tarafından kurumsal ağlara erişmek için aktif olarak sömürülen Citrix ADC ve Gateway'de 'kritik' sıfır gün güvenlik açığı (CVE-2022-27518) için güvenlik güncellemeleri uygulamaya şiddetle teşvik ediyor.
Bu yeni güvenlik açığı, yetkili olmayan bir saldırganın savunmasız cihazlarda uzaktan komutları yürütmesine ve bunlar üzerinde kontrolü almasına izin verir.
Citrix, güvenlik açığı saldırılarda aktif olarak kullanıldığından yöneticileri en son "mümkün olan en kısa sürede" yüklemeleri için uyarıyor.
Citrix, danışmanlığa eşlik eden güvenlik güncellemesinde "Bu kırılganlığı kullanarak vahşi doğada az sayıda hedeflenen saldırının farkındayız."
"Bir SAML SP veya IDP yapılandırması ile etkilenen bir yapı kullanan müşterilere, bu güvenlik açığı kritik olarak tanımlandığından, önerilen yapıları derhal kurmaları istenir. Bu güvenlik açığı için hiçbir geçici çözüm mevcut değildir." - Citrix.
Güvenlik açığı, Citrix ADC ve Citrix Gateway'in aşağıdaki sürümlerini etkiler:
Yukarıdaki sürümler yalnızca cihazlar bir SAML SP (SAML Servis Sağlayıcısı) veya SAML IDP (SAML Kimlik Sağlayıcısı) olarak yapılandırılmışsa etkilenir.
Yöneticiler, aşağıdaki iki komut için "NS.Conf" dosyasını inceleyerek cihazın nasıl yapılandırıldığını belirleyebilir:
Kimlik Doğrulama Samlaksiyonu Ekle Kimlik Doğrulama Ekle Samlidpprofile
Yukarıdaki yapılandırma işlemleri bulunursa yöneticiler hemen cihazlarını güncellemelidir.
Citrix ADC ve Citrix Gateway sürüm 13.1, CVE-2022-27518'den etkilenmez, bu nedenle yükseltme güvenlik sorununu çözer.
Eski sürümleri kullananların 12.0 (12.1.65.25) veya 13.0 şubesi (13.0.88.16) için mevcut en son yapıya yükseltmeleri önerilir.
Ayrıca, Citrix ADC FIPS ve Citrix ADC NDCPP, 12.1-55.291 veya sonraki sürümlere yükseltilmelidir.
Citrix tarafından yönetilen bulut hizmetlerini kullananların, satıcı zaten uygun iyileştirme adımlarını attığı için herhangi bir işlem yapmak zorunda değildir.
Buna ek olarak, sistem yöneticilerinin ADC cihazları için Citrix'in "en iyi uygulamalarına" danışması ve satıcının güvenlik önerilerini uygulamaları istenir.
Citrix, bu yeni hatanın nasıl istismar edildiğine dair herhangi bir ayrıntı paylaşmasa da, NSA, devlet destekli APT5 hackerlarının (diğer adıyla UNC2630 ve manganez) saldırılardaki güvenlik açığından aktif olarak sömürdüğünü paylaştı.
NSA Siber Güvenlik Direktörü Rob Joyce, "Aktif sömürü APT5 tarafından devam ediyor.
Koordineli bir açıklamada NSA, bir cihazın kullanılıp kullanılmadığını ve Citrix ADC ve ağ geçidi cihazlarını güvence altına almaya ilişkin ipuçlarını algılama hakkında bilgi içeren bir "APT5: Citrix ADC Tehdit Avcılık Rehberliği" danıştı.
"APT5, CITRIX® Uygulama Dağıtım Denetleyicisi ™ (ADC ™) dağıtımlarına (" Citrix ADC'ler ") karşı yetenekler göstermiştir. Hedefleme Citrix ADC'lerin, normal kimlik doğrulama kontrollerini atlayarak hedeflenen kuruluşlara gayri meşru erişimi kolaylaştırabilir."
"Bu nedenle, NSA, ortaklarla işbirliği içinde, kuruluşların bu tür faaliyetlerin olası eserlerini aramak için adım atabilecekleri bu tehdit avcılık rehberliğini geliştirdi. Lütfen bu rehberliğin tüm teknikleri, taktikleri veya prosedürleri (prosedürleri (prosedürleri temsil etmediğini unutmayın. TTPS) Aktörler bu ortamları hedef alırken kullanabilir " - Ulusal Güvenlik Ajansı
APT5'in, ilk erişim elde etmek ve hassas verileri çalmak için VPN cihazlarında sıfır günleri kullandığı bilinen Çin devlet destekli bir hack grubu olduğuna inanılıyor.
2021'de APT5, ABD Savunma Sanayi Üssü (DIB) ağlarını ihlal etmek için nabız güvenli VPN cihazlarında sıfır gün kullandı.
APT5 şu anda güvenlik açığını kötüye kullanan tek bilinen tehdit oyuncusu olsa da, şimdi açıklandığı için, muhtemelen diğer grupların kısa süre içinde kullanmaya başladığını göreceğiz.
Bilgisayar korsanları, geçmişte kurumsal ağlara, fidye yazılımlarına ve veri hırsızlığına ilk erişime yol açan saldırılarda benzer güvenlik sorunlarından yararlandı.
2019 yılında, CVEIX ADC ve Citrix Gateway'de CVE-2019-19781 olarak izlenen bir uzaktan kod yürütme kusuru, fidye yazılımı operasyonları (1, 2), eyalet destekli APT'ler, hafifletme bypases ve daha fazlasını kullanan fırsatçı saldırganlar tarafından hızla hedeflendi. .
Sömürü o kadar geniş bir şekilde istismar edildi ki, Hollanda hükümeti şirketlere, yöneticiler güvenlik güncellemeleri uygulayana kadar Citrix ADC ve Citrix ağ geçidi cihazlarını kapatmalarını tavsiye etti.
Citrix, yöneticileri eleştirel ADC, Gateway Auth Bypass yamaya çağırıyor
Microsoft Aralık 2022 Patch Salı 2 sıfır gün, 49 kusur düzeltiyor
Cisco, istismar kodu ile yüksek şiddetli IP telefonu sıfır gününü açıklar
F5, Big-IP'de iki uzaktan kod yürütme kusurunu düzeltir
Araştırmacılar, sahne arkası öncesi RCE Bug için istismar ayrıntılarını yayınladı
Kaynak: Bleeping Computer