Salı günü ABD Ulusal Güvenlik Teşkilatı (NSA) söz konusu APT5 olarak izlenen bir tehdit aktörü, etkilenen sistemleri devralmak için Citrix Application Delivery Controller (ADC) ve Gateway’deki bir sıfır gün açığından aktif olarak yararlanıyor.
olarak tanımlanan kritik uzaktan kod yürütme güvenlik açığı CVE-2022-27518kimliği doğrulanmamış bir saldırganın savunmasız cihazlarda uzaktan komut yürütmesine ve kontrolü ele geçirmesine izin verebilir.
Ancak, başarılı bir şekilde yararlanma, Citrix ADC veya Citrix Gateway cihazının bir SAML hizmet sağlayıcısı (SP) veya bir SAML kimlik sağlayıcısı (IdP) olarak yapılandırılmasını gerektirir.
Citrix ADC ve Citrix Gateway’in aşağıdaki desteklenen sürümleri bu güvenlik açığından etkilenir –
- Citrix ADC ve Citrix Gateway 13.0, 13.0-58.32 öncesi
- Citrix ADC ve Citrix Gateway 12.1, 12.1-65.25 öncesi
- 12.1-55.291 öncesi Citrix ADC 12.1-FIPS
- 12.1-55.291 öncesi Citrix ADC 12.1-NDcPP
Citrix ADC ve Citrix Gateway 13.1 sürümleri etkilenmez. Şirket ayrıca “SAML kimlik doğrulamasını devre dışı bırakmanın veya mevcut bir yapıya yükseltmenin ötesinde” herhangi bir geçici çözüm bulunmadığını söyledi.
Sanallaştırma hizmetleri sağlayıcısı, kusuru kullanan “az sayıda hedefli saldırının” farkında olduğunu söyleyerek müşterileri en son yamayı hafifletilmemiş sistemlere uygulamaya çağırdı.
APT5Bronze Fleetwood, Keyhole Panda, Manganese ve UNC2630 olarak da bilinen , Çin çıkarları adına faaliyet gösterdiğine inanılıyor. Geçen yıl Mandiant, Çin’in 14. Beş Yıllık Planında belirtilen hükümet öncelikleriyle uyumlu dikeyleri hedef alan casusluk faaliyetini ortaya çıkardı.
Bu saldırılar, Pulse Secure VPN cihazlarında (CVE-2021-22893, CVSS puanı: 10.0) o sırada açıklanan bir kusurun, kötü amaçlı web kabuklarını dağıtmak ve kurumsal ağlardan değerli bilgileri sızdırmak için kötüye kullanılmasını gerektirdi.
NSA, “APT5, Citrix Application Delivery Controller konuşlandırmalarına karşı yetenekler gösterdi” dedi. “Citrix ADC’lerini hedeflemek, normal kimlik doğrulama kontrollerini atlayarak hedeflenen kuruluşlara yasa dışı erişimi kolaylaştırabilir.”
Microsoft, geçen ay, Çinli tehdit aktörlerinin vahşi doğada diğer düşman topluluklar tarafından ele geçirilmeden önce sıfır günü keşfetme ve kendi lehlerine kullanma geçmişine dikkat çekti.
Citrix hatası haberi, Fortinet’in FortiOS SSL-VPN cihazlarında (CVE-2022-42475, CVSS puanı: 9.3) uzaktan kod yürütülmesini de kolaylaştıran ciddi bir güvenlik açığını ortaya çıkarmasından bir gün sonra gelir.
VMWare, kod yürütme güvenlik açıkları için güncellemeler yayınladı
İlgili bir geliştirmede, VMware ifşa ESXi, Fusion, Workstation ve vRealize Network Insight’ı (vRNI) etkileyen, komut enjeksiyonu ve kod yürütmeyle sonuçlanabilecek iki kritik kusurun ayrıntıları.
- CVE-2022-31702 (CVSS puanı: 9.8) – vRNI’de komut enjeksiyon güvenlik açığı
- CVE-2022-31703 (CVSS puanı: 7.5) – vRNI’de dizin geçişi güvenlik açığı
- CVE-2022-31705 (CVSS puanı: 5,9/9,3) – EHCI denetleyicisinde yığın sınırların dışında yazma güvenlik açığı
Şirket, CVE-2022-31705 için bir güvenlik bülteninde “ESXi’de, istismar VMX sanal alanı içinde bulunurken, İş İstasyonu ve Fusion’da bu, İş İstasyonu veya Fusion’ın kurulu olduğu makinede kod yürütülmesine yol açabilir” dedi.
