CVE-2022-27518 hakkında
CVE-2022-27518, güvenlik açığı bulunan cihazların yazılımının, kullanım ömrü boyunca (oluşturma, kullanma ve yayınlama) bir kaynak üzerinde kontrol sağlayamamasından kaynaklanır ve uzaktaki saldırganlara savunmasız cihazlarda rasgele kod (önceden kimlik doğrulaması olmadan) yürütme fırsatı verir.
Sıfır gün kusuru, genellikle Citrix Virtual Apps and Desktops uygulamalarına yük dengeli, güvenli uzaktan erişim için kullanılan Citrix ADC’yi ve kimlik ve erişim yönetimi özelliklerine sahip güvenli bir uzaktan erişim çözümü olan Citrix Gateway’i etkiler. – çeşitli barındırılan uygulamalar için.
Citrix’in güvenlik bülteni, etkilenen desteklenen ve desteklenmeyen sürümleri listeler ve yalnızca müşteri tarafından yönetilen Citrix ADC ve Citrix Gateway cihazlarının hızlı bir güncelleme gerektirdiğini belirtir.
Şirket ayrıca istismar için bir ön koşul da listeliyor: yalnızca SAML SP (servis sağlayıcı) veya SAML IdP (kimlik sağlayıcı) olarak yapılandırılan Citrix ADC’ler ve Citrix Gateway’ler risk altındadır ve hemen yükseltilmelidir.
vahşi sömürü
NSA, kuruluşların Citrix ADC ortamlarının güvenliğinin ihlal edilip edilmediğini araştırmasına yardımcı olmak için tehdit avı kılavuzu yayınladı ve gözlemlenen saldırıları APT5’e (diğer adıyla UNC2630, diğer adıyla MANGANESE) bağladı.
APT5, on yılı aşkın bir süredir, özellikle telekomünikasyon ve teknoloji şirketleri olmak üzere birçok sektördeki kuruluşları hedefliyor ve ihlal ediyor. Grubun daha önce Fortinet, Palo Alto Networks ve Pulse Secure tarafından sağlanan VPN ürünlerindeki güvenlik açıklarından yararlandığı biliniyordu.
Kılavuzun yayınlanmasının ardından NSA’nın Siber Güvenlik Direktörü Rob Joyce, “En son Citrix sürümüne güncelleyin, uzlaşma olup olmadığını kontrol edin ve herhangi bir şey bulursanız bize bildirin,” dedi.