A Agência de Segurança Nacional dos EUA está alertando que hackers apoiados pelo governo chinês estão explorando uma vulnerabilidade de dia zero em dois produtos de rede Citrix amplamente usados para obter acesso às redes visadas.
A falha, rastreada como CVE-2022-27518 , afeta o Citrix ADC, um controlador de entrega de aplicativos, e o Citrix Gateway, uma ferramenta de acesso remoto, e ambos são populares em redes corporativas. A vulnerabilidade classificada como crítica permite que um invasor não autenticado execute remotamente códigos maliciosos em dispositivos vulneráveis, sem a necessidade de senhas. A Citrix também diz que a falha está sendo explorada ativamente por agentes de ameaças.
“Estamos cientes de um pequeno número de ataques direcionados na natureza usando essa vulnerabilidade”, disse Peter Lefkowitz, diretor de segurança e confiança da Citrix, em um post de blog . “Explorações limitadas desta vulnerabilidade foram relatadas.” A Citrix não especificou em quais setores as organizações-alvo estão ou quantas foram comprometidas. Um porta-voz da Citrix não respondeu imediatamente às perguntas do TechCrunch.
A Citrix lançou um patch de emergência para a vulnerabilidade na segunda-feira e está pedindo aos clientes que usam compilações afetadas do Citrix ADC e do Citrix Gateway que instalem as atualizações imediatamente.
A Citrix não compartilhou mais detalhes sobre os ataques in-the-wild. No entanto, em um comunicado separado, a NSA disse que o APT5, um notório grupo de hackers chinês, tem visado ativamente os Citrix ADCs para invadir organizações sem ter que primeiro roubar credenciais. A agência também forneceu orientações sobre ameaças [PDF] para as equipes de segurança e solicitou o compartilhamento de inteligência entre os setores público e privado.
A APT5, que está ativa desde pelo menos 2007, conduz em grande parte campanhas de espionagem cibernética e tem um histórico de visar empresas de tecnologia, incluindo aquelas que constroem aplicações militares e provedores de telecomunicações regionais. A empresa de segurança cibernética FireEye descreveu anteriormente o APT5 como “um grande grupo de ameaças que consiste em vários subgrupos, geralmente com táticas e infraestrutura distintas”.
No ano passado, o APT5 explorou uma vulnerabilidade de dia zero no Pulse Secure VPN – outro produto de rede frequentemente visado por hackers – para violar redes dos EUA envolvidas em pesquisa e desenvolvimento de defesa.
Fonte Leia mais: https://techcrunch.com/2022/12/14/nsa-says-chinese-hackers-are-exploiting-a-zero-day-bug-in-popular-networking-gear/
