ABD Ulusal Güvenlik Dairesi (NSA) Salı günü, APT5 olarak izlenen bir tehdit aktörünün, etkilenen sistemleri devralmak için Citrix Application Delivery Controller (ADC) ve Gateway’deki bir sıfır gün açığını aktif olarak kullandığını söyledi.
CVE-2022-27518 olarak tanımlanan kritik uzaktan kod yürütme güvenlik açığı, kimliği doğrulanmamış bir saldırganın güvenlik açığı bulunan cihazlarda uzaktan komut yürütmesine ve kontrolü ele geçirmesine olanak verebilir.
Ancak, başarılı bir şekilde yararlanma, Citrix ADC veya Citrix Gateway cihazının bir SAML hizmet sağlayıcısı (SP) veya bir SAML kimlik sağlayıcısı (IdP) olarak yapılandırılmasını gerektirir.
Citrix ADC ve Citrix Gateway’in aşağıdaki desteklenen sürümleri bu güvenlik açığından etkilenir –
- Citrix ADC ve Citrix Gateway 13.0, 13.0-58.32 öncesi
- Citrix ADC ve Citrix Gateway 12.1, 12.1-65.25 öncesi
- 12.1-55.291 öncesi Citrix ADC 12.1-FIPS
- 12.1-55.291 öncesi Citrix ADC 12.1-NDcPP
Citrix ADC ve Citrix Gateway 13.1 sürümleri etkilenmez. Şirket ayrıca “SAML kimlik doğrulamasını devre dışı bırakmanın veya mevcut bir yapıya yükseltmenin ötesinde” herhangi bir geçici çözüm bulunmadığını söyledi.
Sanallaştırma hizmetleri sağlayıcısı, kusuru kullanan “az sayıda hedefli saldırının” farkında olduğunu söyleyerek müşterileri en son yamayı hafifletilmemiş sistemlere uygulamaya çağırdı.
Bronze Fleetwood, Keyhole Panda, Manganese ve UNC2630 olarak da bilinen APT5’in Çin çıkarları adına çalıştığına inanılıyor. Geçen yıl Mandiant, Çin’in 14. Beş Yıllık Planında belirtilen hükümet öncelikleriyle uyumlu dikeyleri hedef alan casusluk faaliyetini ortaya çıkardı.
Bu saldırılar, Pulse Secure VPN cihazlarında (CVE-2021-22893, CVSS puanı: 10.0) o sırada açıklanan bir kusurun, kötü amaçlı web kabuklarını dağıtmak ve kurumsal ağlardan değerli bilgileri sızdırmak için kötüye kullanılmasını gerektirdi.
NSA, “APT5, Citrix Application Delivery Controller konuşlandırmalarına karşı yetenekler gösterdi” dedi. “Citrix ADC’lerini hedeflemek, normal kimlik doğrulama kontrollerini atlayarak hedeflenen kuruluşlara yasa dışı erişimi kolaylaştırabilir.”
Microsoft, geçen ay, Çinli tehdit aktörlerinin vahşi doğada diğer düşman topluluklar tarafından ele geçirilmeden önce sıfır günü keşfetme ve kendi lehlerine kullanma geçmişine dikkat çekti.
Citrix hatası haberi, Fortinet’in FortiOS SSL-VPN cihazlarında (CVE-2022-42475, CVSS puanı: 9.3) uzaktan kod yürütülmesini de kolaylaştıran ciddi bir güvenlik açığını ortaya çıkarmasından bir gün sonra gelir.
VMWare, kod yürütme güvenlik açıkları için güncellemeler yayınladı
İlgili bir geliştirmede VMware, ESXi, Fusion, Workstation ve vRealize Network Insight’ı (vRNI) etkileyen, komut enjeksiyonu ve kod yürütmeyle sonuçlanabilecek iki kritik kusurun ayrıntılarını açıkladı.
- CVE-2022-31702 (CVSS puanı: 9.8) – vRNI’de komut enjeksiyon güvenlik açığı
- CVE-2022-31703 (CVSS puanı: 7.5) – vRNI’de dizin geçişi güvenlik açığı
- CVE-2022-31705 (CVSS puanı: 5,9/9,3) – EHCI denetleyicisinde yığın sınırların dışında yazma güvenlik açığı
Şirket, CVE-2022-31705 için bir güvenlik bülteninde “ESXi’de, istismar VMX sanal alanı içinde bulunurken, İş İstasyonu ve Fusion’da bu, İş İstasyonu veya Fusion’ın kurulu olduğu makinede kod yürütülmesine yol açabilir” dedi.