A Citrix recomenda que os administradores apliquem atualizações de segurança para uma vulnerabilidade de dia zero, rastreada como CVE-2022-27518, no Citrix ADC e no Gateway.
A vulnerabilidade é explorada ativamente por agentes de ameaças vinculados à China para obter acesso às redes de destino e tem classificação 9.8 de tão grave que é.
Estamos cientes de um pequeno número de ataques direcionados na natureza usando essa vulnerabilidade.
Um invasor remoto não autenticado pode explorar a vulnerabilidade para obter a execução de código arbitrário no dispositivo vulnerável.
Foi descoberta uma vulnerabilidade no Citrix Gateway e no Citrix ADC, listados abaixo, que, se explorada, pode permitir que um invasor remoto não autenticado execute a execução de código arbitrário no dispositivo.
diz o comunicado publicado pela empresa.
Foram relatadas explorações desse problema em aparelhos não mitigados na natureza.
A empresa recomenda veementemente aos clientes afetados do Citrix ADC e Citrix Gateway que instalem as versões atualizadas relevantes do Citrix ADC ou Gateway o mais rápido possível
De acordo com a empresa, a vulnerabilidade afeta o Citrix ADC e o Citrix Gateway 12.1 e 13.0 antes das versões 13.0-58.32. ADC e Gateway versão 13.1 não são afetados.
A empresa recomenda aos clientes que estão usando uma compilação impactada com uma configuração SAML SP ou IdP que instalem as versões recomendadas imediatamente.
O comunicado aponta não haver soluções alternativas para essa vulnerabilidade.
Os administradores podem determinar a configuração de sua instalação inspecionando o arquivo “ns.conf” para os dois comandos a seguir:
- adicionar autenticação samlAction (o dispositivo está configurado como um SAML SP)
- adicionar autenticação samlIdPProfile (o dispositivo está configurado como um SAML IdP)
A National Security Agency (NSA) também lançou um Cybersecurity Advisory (CSA) com orientações de detecção e mitigação para ferramentas alavancadas por um ator mal-intencionado contra Citrix ADC e Citrix Gateway.
De acordo com a agência de inteligência, os hackers APT5 vinculados à China (também conhecidos como UNC2630 e MANGANESE ) demonstraram recursos contra implantações do Application Delivery Controller (ADC ™).
Como tal, a NSA, em colaboração com parceiros, desenvolveu esta orientação de caça a ameaças para fornecer as etapas que as organizações podem seguir para procurar possíveis artefatos desse tipo de atividade.
Observe que esta orientação não representa todas as técnicas, táticas ou procedimentos (TTPs) que os atores podem usar ao direcionar esses ambientes.
Informação contida no comunicado da NSA . “Esta atividade foi atribuída ao APT5, também conhecido como UNC2630 e MANGANESE.”
Se sua empresa deve ficar atenta a vulnerabilidade CVE-2022-27518 e conhece alguém que também deva se preocupar curta, comente e compartilhe.