🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                   

NSA cảnh báo về việc tin tặc đang khai thác lỗ hổng zero-Day Citrix ADC và Gateway trong thực tế

16/12/2022

Thứ Ba vừa qua, Cơ quan An ninh Quốc gia (NSA) của Mỹ cho biết một tác nhân đe dọa được theo dõi với cái tên APT5 đang khai thác lỗ hổng zero-day trong Application Delivery Controller (ADC) và Gateway của Citrix để giành quyền kiểm soát các hệ thống bị ảnh hưởng.

Lỗ hổng nghiêm trọng có định danh CVE-2022-27518, có thể cho phép kẻ tấn công không cần xác thực thực thi mã từ xa trên các thiết bị bị ảnh hưởng và chiếm quyền kiểm soát thiết bị.

Tuy nhiên, việc khai thác thành công yêu cầu thiết bị Citrix ADC hoặc Citrix Gateway phải được cấu hình như một hệ thống cung cấp dịch vụ SAML (SP- service provider) hoặc hệ thống xác thực SAML (IdP- identity provider).

Các phiên bản sản phẩm [đang được hỗ trợ] bị ảnh hưởng bởi lỗ hổng này bao gồm:

- Citrix ADC và Citrix Gateway 13.0 trước 13.0-58.32

- Citrix ADC và Citrix Gateway 12.1 trước 12.1-65.25

- Citrix ADC 12.1-FIPS trước 12.1-55.291

- Citrix ADC 12.1-NDcPP trước 12.1-55.291

Các phiên bản Citrix ADC và Citrix Gateway 13.1 không bị ảnh hưởng. Công ty cho biết không có giải pháp thay thế nào "ngoài việc vô hiệu hóa xác thực SAML hoặc nâng cấp lên bản cập nhật hiện tại".

Công ty cũng đã xác nhận về sự tồn tại của “các cuộc tấn công có chủ đích trong thực tế” lạm dụng lỗ hổng này và khuyến nghị khách hàng nên áp dụng bản vá mới nhất cho các hệ thống bị ảnh hưởng càng sớm càng tốt.

APT5, còn được gọi là Bronze Fleetwood, Keyhole Panda, Manganese và UNC2630, được cho là có liên quan đến Trung Quốc. Năm ngoái, nhóm này đã lạm dụng một lỗ hổng trong các thiết bị Pulse Secure VPN (CVE-2021-22893, điểm CVSS: 10,0) để tấn công vào các doanh nghiệp và cơ quan chính phủ của Mỹ nhằm triển khai các phần mềm độc hại và lấy cắp thông tin có giá trị từ các tổ chức bị nhắm mục tiêu.

NSA cho biết “APT5 đã chứng minh khả năng tấn công chống lại ADC Citrix”. "Các ADC Citrix bị khai thác có thể tạo điều kiện truy cập trái phép vào các tổ chức được nhắm mục tiêu bằng cách vượt qua các kiểm tra xác thực thông thường".

Tin tức về lỗ hổng Citrix xuất hiện một ngày sau khi Fortinet tiết lộ về một lỗ hổng nghiêm trọng cho phép thực thi mã từ xa trong các thiết bị FortiOS SSL-VPN (CVE-2022-42475, điểm CVSS: 9,3).

Trong một diễn biến liên quan, VMware đã tiết lộ chi tiết về các lỗ hổng nghiêm trọng ảnh hưởng đến ESXi, Fusion, Workstation và vRealize Network Insight (vRNI) có thể dẫn đến việc thực thi mã và tấn công command injection.

- CVE-2022-31702 (CVSS score: 9.8) - Lỗ hổng command injection trong vRNI

- CVE-2022-31703 (CVSS score: 7.5) - Lỗ hổng directory traversal trong vRNI

- CVE-2022-31705 (CVSS score: 5.9/9.3) - Lỗ hổng Heap out-of-bounds write trong EHCI controller

VMware cho biết việc khai thác CVE-2022-31705 trên ESXi được cách ly trong môi trường VMX sandbox nhưng trên Workstation và Fusion thì không, điều này có thể dẫn đến thực thi mã trên máy cài đặt Workstation hoặc Fusion.

Nguồn: thehackernews.com.

scrolltop