Ошибка, описанная на сайте Citrix как CVE-2022-27518, может позволить злоумышленникам удалённо, не проходя проверку подлинности, запустить вредоносный код на устройствах. То есть пароли им даже не потребуются.
«Дыра» в безопасности затрагивает контроллер доставки приложений Citrix ADC и средство удалённого доступа Citrix Gateway. И оба эти продукта часто используются в США. В Citrix также признали, что уязвимость CVE-2022-27518 уже активно используется злоумышленниками.
Нам известно о небольшом количестве целенаправленных атак с использованием этой уязвимости
— Питер Лефковиц, главный специалист по безопасности в Citrix.
В Citrix не уточнили, о каких отраслях идёт речь и сколько организаций уже атаковали.
Citrix выпустила экстренное исправление для уязвимости 12 декабря. И теперь призывает клиентов, использующих уязвимые сборки Citrix ADC и Citrix Gateway, немедленно установить обновления.
В отдельном сообщении АНБ заявило, что китайская хакерская группа APT5 активно нацеливается на аналого-цифровые преобразователи (ADC) Citrix. Цель — проникнуть в организации напрямую, без необходимости сначала красть учётные данные.
В АНБ также опубликовали инструкцию для поиска угроз и призвали обмениваться разведданными между государственным и частным секторами США.
Хакеры из APT5 действуют с 2007 года проводят кампании кибершпионажа и уже атаковали технологические компании, в том числе разработчиков военных приложений и региональных телекоммуникационных провайдеров. Фирма по кибербезопасности FireEye ранее описывала APT5 как «представляющую угрозу большую группу, состоящую из нескольких подгрупп с различными тактиками и инфраструктурой». В прошлом году группировка APT5 использовала уязвимость нулевого дня в VPN от компании Pulse Secure для взлома компьютерных сетей, связанных с оборонкой США.
