La Agencia de Seguridad Nacional de EE. UU. (NSA) dijo el martes que un actor de amenazas rastreado como APT5 ha estado explotando activamente una falla de día cero en Citrix Application Delivery Controller (ADC) y Gateway para hacerse cargo de los sistemas afectados.
La vulnerabilidad crítica de ejecución remota de código, identificada como CVE-2022-27518 , podría permitir que un atacante no autenticado ejecute comandos de forma remota en dispositivos vulnerables y tome el control.
Sin embargo, la explotación exitosa requiere que el dispositivo Citrix ADC o Citrix Gateway esté configurado como un proveedor de servicios (SP) SAML o un proveedor de identidad (IdP) SAML.
Las siguientes versiones compatibles de Citrix ADC y Citrix Gateway se ven afectadas por la vulnerabilidad:
- Citrix ADC y Citrix Gateway 13.0 antes de 13.0-58.32
- Citrix ADC y Citrix Gateway 12.1 antes de 12.1-65.25
- Citrix ADC 12.1-FIPS antes de 12.1-55.291
- Citrix ADC 12.1-NDcPP anterior a 12.1-55.291
Citrix ADC y Citrix Gateway versiones 13.1 no se ven afectados. La compañía también dijo que no hay soluciones disponibles «más allá de deshabilitar la autenticación SAML o actualizar a una versión actual».
El proveedor de servicios de virtualización dijo que está al tanto de una «pequeña cantidad de ataques dirigidos en la naturaleza» que utilizan la falla, instando a los clientes a aplicar el último parche a los sistemas sin mitigar.
Se cree que APT5 , también conocido como Bronze Fleetwood, Keyhole Panda, Manganese y UNC2630, opera en nombre de los intereses chinos. El año pasado, Mandiant reveló actividad de espionaje dirigida a verticales que se alineaban con las prioridades del gobierno descritas en el 14º Plan Quinquenal de China.
Esos ataques implicaron el abuso de una falla revelada en ese momento en los dispositivos Pulse Secure VPN ( CVE-2021-22893 , puntaje CVSS: 10.0) para implementar shells web maliciosos y filtrar información valiosa de las redes empresariales.
«APT5 ha demostrado capacidades frente a las implementaciones de Citrix Application Delivery Controller», dijo la NSA. «Dirigirse a los ADC de Citrix puede facilitar el acceso ilegítimo a las organizaciones seleccionadas al pasar por alto los controles de autenticación normales».
Microsoft, el mes pasado, señaló el historial de los actores de amenazas chinos de descubrir y usar los días cero para su ventaja antes de ser detectados por otros colectivos adversarios en la naturaleza.
La noticia del error de Citrix también llega un día después de que Fortinet revelara una vulnerabilidad grave que también facilita la ejecución remota de código en dispositivos FortiOS SSL-VPN ( CVE-2022-42475 , puntuación CVSS: 9,3).
VMWare lanza actualizaciones para vulnerabilidades de ejecución de código
En un desarrollo relacionado, VMware reveló detalles de dos fallas críticas que afectan a ESXi, Fusion, Workstation y vRealize Network Insight (vRNI) que podrían resultar en la inyección de comandos y la ejecución de código.
- CVE-2022-31702 (puntuación CVSS: 9,8): vulnerabilidad de inyección de comandos en vRNI
- CVE-2022-31703 (puntuación CVSS: 7,5): vulnerabilidad de cruce de directorios en vRNI
- CVE-2022-31705 (puntuación CVSS: 5,9/9,3): vulnerabilidad de escritura fuera de los límites del montón en el controlador EHCI
«En ESXi, la explotación está contenida dentro de la caja de arena de VMX, mientras que en Workstation y Fusion, esto puede conducir a la ejecución de código en la máquina donde está instalado Workstation o Fusion», dijo la compañía en un boletín de seguridad para CVE-2022-31705.
Fuente y redacción: thehackernews.com