Wiele serwerów Citrix ADC i Gateway pozostaje podatnych na infekcję o wysokiej szkodliwości, która została już załatana przez firmę kilka tygodni temu — twierdzą eksperci.
Na początku listopada 2022 roku Citrix odkrył i załatał dziurę “Unauthorized access to Gateway user capabilities”, od tego czasu śledzoną jako CVE-2022-27510. Dotyczyła ona obu produktów i pozwalała atakującemu na uzyskanie autoryzowanego dostępu do punktów końcowych, zdalne przejęcie kontroli nad urządzeniami i obejście zabezpieczeń logowania brute force.
Mniej więcej miesiąc później, w połowie grudnia, firma naprawiła błąd ” nieautoryzowanego zdalnego wykonania dowolnego kodu”, od tego czasu oznaczonego jako CVE-2022-27518. Ta luka z kolei pozwalała na zdalne wykonanie złośliwego kodu na docelowym punkcie końcowym.
Obie luki mają ocenę szkodliwości 9,8/10, a co najmniej jedna z nich była nadużywana w środowisku naturalnym jako zero-day, twierdzą badacze z zespołu Fox IT NCC Group. W rzeczywistości, amerykańska Agencja Bezpieczeństwa Narodowego (NSA) ostrzegła na początku grudnia, że grupa hakerska wspierana przez państwo chińskie wykorzystywała tę drugą lukę jako błąd bezpieczeństwa zero-day.
Wtedy, w oficjalnym wpisie na blogu, główny specjalista ds. bezpieczeństwa i zaufania w firmie Citrix Peter Lefkowitz twierdził, że “zgłoszono ograniczone przypadki wykorzystania tej luki”, ale nie rozwodził się nad liczbą ataków ani nad branżami, których one dotyczyły.
Grupa ta, określana czasem jako Manganese, najwyraźniej obrała sobie za cel sieci z aplikacjami Citrixa, aby przełamać zabezpieczenia organizacyjne bez konieczności uprzedniego wykradania danych uwierzytelniających za pomocą socjotechniki i ataków phishingowych.
Badacze powiedzieli również, że podczas gdy większość punktów końcowych została załatana od czasu wydania poprawek, istnieją “tysiące” podatnych na atak serwerów. Według stanu na 11 listopada 2022 roku, co najmniej 28 000 serwerów Citrix zostało uznanych za zagrożone.
