Vários servidores Citrix podem estar vulneráveis ​​a ataques

De acordo com especialistas, a Citrix não corrigiu muitas das vulnerabilidades críticas que foram descobertas nos servidores Application Delivery Controller (ADC) e Gateway da empresa.

Citrix encontrou e corrigiu

A Citrix encontrou e corrigiu uma vulnerabilidade chamada “Acesso não autorizado aos recursos do usuário do Gateway”, que agora é conhecida como CVE-2022-27510. Ambos os produtos são vulneráveis ​​a esse problema, que permite que um invasor assuma remotamente o controle de dispositivos comprometidos, altere configurações sem autorização e desative a proteção de login de força bruta do dispositivo.

Cerca de um mês depois, em meados de dezembro, a empresa corrigiu uma vulnerabilidade conhecida como “Execução remota de código arbitrário não autenticado”, que agora é referenciada pelo rastreador de bug ID CVE-2022-27518. Ao usá-lo, os invasores podem instalar malware remotamente no dispositivo comprometido.

Aviso da NSA

Pesquisadores da equipe de TI da Fox do NCC Group afirmam que ambas as vulnerabilidades têm uma classificação de gravidade de 9,8/10 e pelo menos uma foi explorada como um dia zero.

Esta última vulnerabilidade é uma falha de segurança de dia zero, e a Agência de Segurança Nacional dos EUA (NSA) emitiu um aviso sobre isso no início de dezembro, alegando que um coletivo de hackers apoiado pelo governo chinês a estava explorando ativamente.

Anteriormente, o diretor de segurança e confiança da Citrix, Peter Lefkowitz, afirmou em uma postagem no blog da empresa que “explotações limitadas dessa vulnerabilidade foram relatadas”, sem fornecer mais detalhes sobre o número de ataques ou os setores afetados.

Esse grupo de agentes de ameaças, às vezes chamado de Manganês, parece ter deliberadamente visado redes usando esses aplicativos Citrix para contornar a segurança no nível da organização sem recorrer ao roubo de credenciais por meio de engenharia social ou phishing.

Embora a maioria dos endpoints tenha sido corrigida desde que as correções foram tornadas públicas, os pesquisadores observaram que ainda existem “milhares” de servidores vulneráveis. Em 11 de novembro de 2022, foi descoberto que pelo menos 28.000 servidores Citrix estavam vulneráveis ​​a ataques.

Esperamos que este blog ajude a chamar mais atenção para esses dois Citrix CVEs e que nosso trabalho na identificação de versões ajude a informar pesquisas futuras.