Citrix łata krytyczną lukę w ADC

Powiązany z Chinami gang cyberprzestępczy APT5 atakuje już lukę w produktach Application Delivery Controller (ADC) i Gateway firmy Citrix, które producent dziś załatał.

Jak podaje Citrix, luka, CVE-2022-27518, „może pozwolić nieuwierzytelnionemu zdalnemu napastnikowi na wykonanie dowolnego kodu na urządzeniu”, jeśli jest ono skonfigurowane jako dostawca usług SAML lub dostawca tożsamości (SAML SP, SAML IdP).

Nietypowo, Citrix stosuje politykę nieujawniania wyników Common Vulnerability Scoring System (CVSS) dla swoich błędów. CVSS ocenia błędy w dziesięciopunktowej skali, przy czym wszystko, co jest ocenione powyżej 9.0, jest uważane za krytyczne, a zatem warte pilnej uwagi ze względu na znaczne ryzyko wykorzystania. Badacze sugerują, że luka może być bliższa ocenie 10.0 niż 9.0, ponieważ po ogłoszeniu przez Citrixa tej luki szybko opublikowano wskazówki dotyczące metod wyszukiwania zagrożeń z amerykańskiej Agencji Bezpieczeństwa Narodowego (NSA), która uważa, że powiązany z Chinami gang przestępczy znany jako APT5 (aka UNC2630 i MANGANESE) już „zademonstrował możliwości” atakowania ADC Citrixa.

Wytyczne NSA dotyczące wykrywania zagrożenia oferują szczegółową i długą procedurę diagnozowania skompromitowanego ADC i ostrzegają, że jeśli jeden z kroków nie znajdzie dowodów na atak, inne mogą.

„Traktuj te mechanizmy wykrywania jako niezależne sposoby identyfikacji potencjalnie złośliwej aktywności na zaatakowanych systemach” – czytamy w wytycznych. „Artefakty mogą się różnić w zależności od środowiska i etapu tej aktywności. W związku z tym NSA zaleca zbadanie każdego pozytywnego wyniku, nawet jeśli inne detekcje nie zwracają żadnych nieprawidłowości.”

Rada firmy Citrix to włączenie rejestrowania audytów i zastosowanie łatek, które przygotowała dla swoich produktów.

ADC firmy Citrix to ulubione rozwiązanie chińskich napastników — cztery błędy w tym produkcie znalazły się na liście 25 najczęściej atakowanych błędów NSA w 2020 roku. Jedną z dziur na tej liście jest osławiony CVE-2019-19781, który pozwalał na wykonanie dowolnego kodu przy braku poświadczeń konta. Citrix ogłosił tę wadę pod koniec grudnia 2019 roku, ale łaty pojawiły się dopiero 20 stycznia 2020 roku.