Uma nova falha em dispositivos Citrix ADC e Citrix Gateway vulneráveis permite que um invasor não autenticado execute comandos remotamente e assuma o controle sobre eles. A Citrix recomenda fortemente que os administradores de redes apliquem atualizações de segurança para uma vulnerabilidade crítica de dia zero — rastreada como CVE-2022-27518 — nos dois dispositivos e que vem sendo explorada ativamente por hackers para obter acesso a redes corporativas.
A fornecedora alerta os administradores para instalarem a atualização mais recente “o mais rápido possível”, pois a vulnerabilidade é explorada ativamente em ataques. “Estamos cientes de um pequeno número de ataques direcionados usando essa vulnerabilidade”, menciona a Citrix na atualização de segurança que acompanha o comunicado.
“Os clientes que estão usando a compilação afetada com uma configuração SAML SP ou IdP devem instalar as compilações recomendadas imediatamente, pois esta vulnerabilidade foi identificada como crítica. Nenhuma solução alternativa está disponível para esta falha”, completa a Citrix na nota.
A vulnerabilidade afeta as seguintes versões do Citrix ADC e do Citrix Gateway:
- Citrix ADC e Citrix Gateway 13.0 antes de 13.0-58.32
- Citrix ADC e Citrix Gateway 12.1 antes de 12.1-65.25
- Citrix ADC 12.1-FIPS antes de 12.1-55.291
- Citrix ADC 12.1-NDcPP antes de 12.1-55.291
Vale ressaltar que essas versões somente são afetadas se os dispositivos forem configurados como SAML SP (provedor de serviços SAML) ou SAML IdP (provedor de identidade SAML).
Os administradores podem determinar como o dispositivo está configurado inspecionando o arquivo “ns.conf” para os dois comandos a seguir: add authentication samlAction e add authentication samlIdPProfile. Os administradores devem atualizar imediatamente seus dispositivos se estas operações de configuração forem encontradas.
O Citrix ADC e o Citrix Gateway versão 13.1 não são afetados pelo CVE-2022-27518, portanto, atualizar para ele resolve o problema de segurança.
Veja isso
Alerta para patch urgente no Citrix ADC e no Gateway
Citrix atualiza produtos para ampliar bloqueio a DDoS amplificado
Aqueles que usam versões mais antigas são recomendados para atualizar para a versão mais recente disponível para as versões 12.0 (12.1.65.25) ou 13.0 (13.0.88.16). Além disso, Citrix ADC FIPS e Citrix ADC NDcPP devem ser atualizados para a versão 12.1-55.291 ou posterior. Aqueles que usam serviços de nuvem gerenciados pela Citrix não precisam realizar nenhuma ação, pois o fornecedor já tomou as medidas de correção apropriadas.
Embora a Citrix não tenha compartilhado nenhum detalhe sobre como esse novo bug está sendo explorado, a Agência de Segurança Nacional (NSA) dos EUA compartilhou que os hackers APT5, também conhecidos como UNC2630 e MANGANESE, estão explorando ativamente a vulnerabilidade em ataques. Acredita-se que o APT5 seja um grupo de hackers patrocinado pelo governo chinês, conhecido por utilizar bugs de dia zero em dispositivos VPN para obter acesso inicial e roubar dados confidenciais.
Em uma divulgação coordenada, a NSA lançou o comunicado “APT5: Citrix ADC Threat Hunting Guidance” com informações sobre como detectar se um dispositivo foi explorado e dicas sobre como proteger os dispositivos Citrix ADC e Citrix Gateway.