Ngày 14 tháng 12 năm 2022Ravie Lakshmanan bảo mật ứng dụng / Zero-Day
Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) hôm thứ Ba cho biết một tác nhân đe dọa được theo dõi là APT5 đã tích cực khai thác lỗ hổng zero-day trong Bộ điều khiển phân phối ứng dụng Citrix (ADC) và Cổng để tiếp quản các hệ thống bị ảnh hưởng.
Lỗ hổng thực thi mã từ xa quan trọng, được xác định là CVE-2022-27518, có thể cho phép kẻ tấn công không được xác thực thực thi lệnh từ xa trên các thiết bị dễ bị tổn thương và chiếm quyền kiểm soát.
Tuy nhiên, việc khai thác thành công yêu cầu thiết bị Citrix ADC hoặc Citrix Gateway được định cấu hình là nhà cung cấp dịch vụ SAML (SP) hoặc nhà cung cấp danh tính SAML (IdP).
Các phiên bản được hỗ trợ sau đây của Citrix ADC và Citrix Gateway bị ảnh hưởng bởi lỗ hổng bảo mật –
Citrix ADC và Citrix Gateway 13.0 trước 13.0-58.32 Citrix ADC và Citrix Gateway 12.1 trước 12.1-65.25 Citrix ADC 12.1-FIPS trước 12.1-55.291 Citrix ADC 12.1-NDcPP trước 12.1-55.291
Citrix ADC và Citrix Gateway phiên bản 13.1 không bị ảnh hưởng. Công ty cũng cho biết không có giải pháp thay thế nào “ngoài việc vô hiệu hóa xác thực SAML hoặc nâng cấp lên bản dựng hiện tại.”
Nhà cung cấp dịch vụ ảo hóa cho biết họ biết về “một số lượng nhỏ các cuộc tấn công có chủ đích trong thực tế” sử dụng lỗ hổng này, kêu gọi khách hàng áp dụng bản vá mới nhất cho các hệ thống chưa được xử lý.
APT5, còn được gọi là Bronze Fleetwood, Keyhole Panda, Manganese và UNC2630, được cho là hoạt động vì lợi ích của Trung Quốc. Năm ngoái, Mandiant đã tiết lộ hoạt động gián điệp nhắm vào các ngành dọc phù hợp với các ưu tiên của chính phủ được nêu trong Kế hoạch 5 năm lần thứ 14 của Trung Quốc.
Các cuộc tấn công đó dẫn đến việc lạm dụng một lỗ hổng được tiết lộ sau đó trong các thiết bị Pulse Secure VPN (CVE-2021-22893, điểm CVSS: 10,0) để triển khai các vỏ web độc hại và lấy cắp thông tin có giá trị từ các mạng doanh nghiệp.
“APT5 đã thể hiện khả năng chống lại việc triển khai Bộ điều khiển phân phối ứng dụng Citrix,” NSA cho biết. “Các ADC Citrix nhắm mục tiêu có thể tạo điều kiện truy cập bất hợp pháp vào các tổ chức được nhắm mục tiêu bằng cách bỏ qua các kiểm soát xác thực thông thường.”
Tháng trước, Microsoft đã chỉ ra lịch sử phát hiện và sử dụng zero day của các tác nhân đe dọa Trung Quốc trước khi bị các tập thể đối thủ khác bắt gặp trong tự nhiên.
Tin tức về lỗi Citrix cũng xuất hiện một ngày sau khi Fortinet tiết lộ một lỗ hổng nghiêm trọng cũng hỗ trợ thực thi mã từ xa trong các thiết bị FortiOS SSL-VPN (CVE-2022-42475, điểm CVSS: 9,3).
VMWare phát hành bản cập nhật cho các lỗ hổng thực thi mã
Trong một diễn biến liên quan, VMware đã tiết lộ chi tiết về hai lỗ hổng nghiêm trọng ảnh hưởng đến ESXi, Fusion, Workstation và vRealize Network Insight (vRNI) có thể dẫn đến việc thực thi mã và lệnh tiêm.
CVE-2022-31702 (Điểm CVSS: 9.8) – Lỗ hổng chèn lệnh trong vRNI
CVE-2022-31703 (Điểm CVSS: 7,5) – Lỗ hổng truyền tải thư mục trong vRNI
CVE-2022-31705 (Điểm CVSS: 5,9/9,3) – Lỗ hổng ghi ngoài giới hạn trong bộ điều khiển EHCI
“Trên ESXi, việc khai thác được chứa trong hộp cát VMX trong khi trên Workstation và Fusion, điều này có thể dẫn đến việc thực thi mã trên máy nơi Workstation hoặc Fusion được cài đặt,” công ty cho biết trong một bản tin bảo mật cho CVE-2022-31705.
