黑客积极利用Citrix ADC和网关零日漏洞

林不二 lv.1

发布时间：2023-07-08 15:09:49 278

相关标签： # 漏洞# 设备# 攻击# 补丁# 缺陷

美国国家安全局（NSA）周二表示，被追踪为APT5的一名威胁行为人一直在积极利用Citrix应用程序交付控制器（ADC）和网关中的零日漏洞接管受影响的系统。

被识别为CVE-2022-27518的关键远程代码执行漏洞可能允许未经验证的攻击者在易受攻击的设备上远程执行命令并夺取控制权。

然而，成功利用此漏洞需要将Citrix ADC或Citrix网关设备配置为SAML服务提供商（SP）或SAML身份提供商（IdP）。

以下受支持的Citrix ADC和Citrix网关版本受此漏洞影响-

Citrix ADC和Citrix网关版本13.1不受影响。该公司还表示，“除了禁用SAML认证或升级到当前版本之外”，没有可用的解决方案

这家虚拟化服务提供商表示，他们意识到“有少量针对性攻击”使用了该漏洞，敦促客户将最新补丁应用于未缓解的系统。

APT5，也称为青铜舰队、钥匙孔熊猫、锰和UNC2630，据信代表中国利益运营。去年，Mandiant披露了针对垂直行业的间谍活动，这些活动符合中国“十四五”规划中列出的政府优先事项。

这些攻击导致了Pulse Secure VPN设备（CVE-221-22893，CVSS得分：10.0）中一个当时已公开的缺陷被滥用，以部署恶意web外壳并从企业网络中过滤出有价值的信息。

NSA表示：“APT5已经展示了针对Citrix Application Delivery Controller部署的能力”。“瞄准Citrix ADC可以绕过正常的身份验证控制，从而促进对目标组织的非法访问”。

上个月，微软指出，中国的威胁行为体在被其他敌对集体在野外发现之前，曾发现并利用零日时间来达到自己的优势。

Citrix漏洞的消息也是在Fortinet发现一个严重漏洞后一天发布的，该漏洞也有助于在FortioSSL-VPN设备中执行远程代码（CVE-2022-42475，CVSS评分：9.3）。

在一项相关的开发中，VMware披露了影响ESXi、Fusion、Workstation和vRealize Network Insight（vRNI）的两个关键缺陷的详细信息，这些缺陷可能导致命令注入和代码执行。

该公司在CVE-2022-31705的安全公告中表示：“在ESXi上，该漏洞包含在VMX沙盒中，而在工作站和Fusion上，这可能会导致在安装工作站或Fusion的机器上执行代码”。

文章来源： https://thehackernews.com/2022/12/hackers-actively-exploiting-citrix-adc.html

特别声明：以上内容（图片及文字）均为互联网收集或者用户上传发布，本站仅提供信息存储服务！如有侵权或有涉及法律问题请联系我们。