Málaga 14 de diciembre de 2022
advertencia de explotación en estado salvaje de los productos Citrix por parte de APT5, un actor de amenazas atribuido a China. El producto afectado es Citrix Application Delivery Controller (ADC), anteriormente conocido como NetScaler, que proporciona orquestación y automatización para aplicaciones en entornos de nube o híbridos. Existen implementaciones para AWS, Azure, GCP y más. La vulnerabilidad es detectada por Wiz.
Las siguientes versiones de Citrix ADC y Citrix Gateway (una oferta de ADC con funciones reducidas) se ven afectadas por esta vulnerabilidad:
·
Citrix ADC and Citrix Gateway 13.0 – all versions earlier than 13.0-58.32
·
Citrix ADC and Citrix Gateway 12.1 – Todas las versiones anteriores a 1-65.25
·
Citrix ADC 12.1-FIPS – Todas las versiones anteriores a 12.1-55.291
·
Citrix ADC 12.1-NDcPP – Todas las versiones anteriores a 12.1-55.291
·
Citrix ADC and Citrix Gateway version 13.1 No se ve afectado.
La explotación de esta vulnerabilidad se limita a los dispositivos Citrix ADC y Citrix Gateway administrados por el cliente con una configuración de proveedor de servicios (SP) SAML o proveedor de identidad (IdP) SAML. Los clientes pueden determinar si sus dispositivos están configurados como tales al buscar en el archivo ns.conf cualquiera de las siguientes líneas: add authentication samlAction o add authentication samlIdPProfile.
Según Citrix, esta vulnerabilidad permite que un atacante remoto no autenticado ejecute código arbitrario en el dispositivo. Al apuntar a instancias vulnerables de Citrix ADC, los atacantes pueden aprovechar esta vulnerabilidad para eludir los controles de autenticación y obtener acceso a las organizaciones objetivo.
Según la información publicada por Citrix, esta vulnerabilidad de día cero solo afecta a las versiones anteriores de los productos Citrix. Aunque una solución para CVE-2022-27518 solo estuvo disponible hoy, todas las versiones del producto afectado lanzadas durante los últimos 2 años no son, de hecho, vulnerables.
Datos de Wiz Research: ¿cuántas organizaciones son vulnerables?
Según nuestros datos, menos del 1 % de los entornos empresariales en la nube son vulnerables a este día cero.
¿Qué tipo de explotación se ha identificado en la naturaleza?
Según la NSA y Citrix, esta vulnerabilidad está siendo explotada activamente por APT5 (también conocido como UNC2630 y MANGANESE), un actor de amenazas respaldado por el estado chino que se sabe que apunta a empresas de telecomunicaciones y tecnología y que anteriormente explotó vulnerabilidades en Pulse Secure VPN. . Los detalles exactos sobre el exploit no están disponibles públicamente en este momento, pero la NSA ha publicado una guía para detectar esta actividad maliciosa en entornos potencialmente afectados.
¿Qué acciones deben tomar los equipos de seguridad?
Los clientes que utilicen versiones afectadas de Citrix ADC o Citrix Gateway deben actualizar a la versión 12.1-65.25, 13.0-88.16 o cualquier compilación 13.1 (ya que esta rama no se ve afectada por la vulnerabilidad). Como alternativa, los clientes pueden deshabilitar la autenticación SAML como solución alternativa si es posible.
Para los clientes de servicios en la nube administrados por Citrix o Adaptive Authentication administrados por Citrix, no se requiere ninguna acción.
La NSA ha publicado APT5: Citrix ADC Threat Hunting Guidance, y los clientes pueden seguir esta guía para detectar indicadores de explotación en entornos vulnerables.
Los clientes de Wiz pueden usar la consulta y el aviso prediseñados en el Centro de amenazas de Wiz para buscar instancias vulnerables en su entorno.
Referencia CVE-2022-27518
Fuente de la Información
Noticia Relacionada
ALERTA Actualización de seguridad para vulnerabilidad crítica en Fortinet
