.
A gangue criminosa APT5, ligada à China, já está atacando uma falha nos produtos Application Delivery Controller (ADC) e Gateway da Citrix que o fornecedor corrigiu hoje.
A Citrix diz que a falha, CVE-2022-27518, “pode permitir que um invasor remoto não autenticado execute a execução de código arbitrário no dispositivo” se estiver configurado como um provedor de serviços SAML ou provedor de identidade (SAML SP, SAML IdP).
Excepcionalmente, a Citrix tem uma política de não revelar as pontuações do Common Vulnerability Scoring System (CVSS) para suas falhas. O CVSS classifica as falhas em uma escala de dez pontos, com qualquer classificação acima de 9,0 considerada crítica e, portanto, digna de atenção urgente devido ao risco significativo de exploração.
Strong The One sugere que a falha pode estar mais próxima de uma pontuação de 10,0 do que de uma classificação de 9,0, porque anúncio da Citrix da falha foi rapidamente seguido pela publicação de um orientação de caça de ameaças [PDF] da Agência de Segurança Nacional dos Estados Unidos (NSA), que acredita que uma gangue criminosa ligada à China conhecida como APT5 (também conhecida como UNC2630 e MANGANESE) já “demonstrou capacidade” para atacar Citrix ADCs.
A orientação de busca de ameaças da NSA oferece um procedimento detalhado e demorado para detectar um ADC comprometido e adverte que, se uma das etapas não encontrar evidências de um ataque, outras poderão.
“Trate esses mecanismos de detecção como formas independentes de identificar atividades potencialmente maliciosas nos sistemas afetados”, afirma a orientação. “Os artefatos podem variar com base no ambiente e no estágio dessa atividade. Como tal, a NSA recomenda investigar qualquer resultado positivo, mesmo que outras detecções não retornem resultados”.
da Citrix adendo é habilitar o log de auditoria e aplicar os patches que preparou para seus produtos.
O fornecedor de segurança Tenable tem analisado a falha e no momento da escrita não havia encontrado o código de prova de conceito para a falha.
Os ADCs da Citrix são os favoritos dos invasores chineses – quatro falhas no produto tornaram os ataques da NSA Lista das 25 falhas mais atacadas em 2020.
Uma das falhas dessa lista é o notório CVE-2019-19781 que permitia a execução de código arbitrário sem credenciais de conta.
A Citrix anunciou a falha no final de dezembro de 2019, mas os patches não apareceram até 20 de janeiro 2020.
da Citrix postagem no blog e artigo de suporte sobre a nova falha não incluem um pedido de desculpas ou expressão de arrependimento. De qualquer forma, clientes ADC sofredores podem não aceitar um. ®
.
