Поделиться
Тысячи серверов Citrix остаются уязвимыми перед критическими «дырами», хотя для них давно есть патчи.
Две критические уязвимости, для которых Citrix выпустила исправления в ноябре и декабре 2022 г., по-прежнему встречаются в тысячах общедоступных серверов и требуют скорейшего устранения.
Угроза только выросла
Две критические уязвимости в Citrix ADC и Gateway, обнаруженные и устраненные в ноябре-декабре 2022 г., до сих пор угрожают тысячам серверов.
Речь идет о CVE-2022-27510, баге, допускающем обход авторизации в программных оболочках серверов и захват контроля над десктопами, и CVE-2022-27518, уязвимости, позволяющей производить удаленное исполнение команд на уязвимых устройствах.
Первая уязвимость была устранена 8 ноября, вторая — 13 декабря 2022 г.
Вторую хакеры, предположительно связанные с китайскими спецслужбами, использовали в нескольких целевых атаках.
Как ранее писал CNews, уязвимость затрагивает версии Citrix ADC и Citrix Gateway 13.0 до индекса 13.0-58.32, Citrix ADC и Citrix Gateway 12.1 до версии 12.1-65.25, Citrix ADC 12.1-FIPS до версии 12.1-55.291 и Citrix ADC 12.1-NDcPP до индекса 12.1-55.291.
По данным АНБ США, китайская кибершпионская группировка APT5, она же UNC2630 и Manganese благодаря этим уязвимостям смогла получить несанкционированный доступ в сети целевых организаций, обойдя механизмы авторизации.
Опасное меньшинство
Эксперты по безопасности группы FoxIT при компании NCC Group, заявили, что хотя большая часть публичных серверов с установленными ADC и Gateway обновлена до защищенных версий, остаются тысячи устройств, которые по-прежнему могут быть атакованы с помощью этих уязвимостей.
В то же время 11 ноября 2022 г. аналитики FoxIT насчитали 28 тысяч общедоступных серверов Citrix. Эти серверы не дают информацию о версиях своих программных оболочек, но в их ответах содержатся хэши MD5, которые можно проассоциировать с определенными версиями.
В итоге эксперты выявили более 3500 эндпойнтов с версиями 12.1-65.21, которая может считаться уязвимой перед CVE-2022-27518, но только при определенных условиях: устройства должны быть настроены в режимах SAML SP и SAML IdP. Это значит, что далеко не все из этих 3,5 тыс. серверов находятся под реальной угрозой.
При этом 12.1-65.21 — вторая по популярности версия Citrix ADC/Gateway по состоянию на 28 декабря 2022 г.
Кроме нее обнаружено множество других уязвимых серверов. Около 1 тыс. могут быть атакованы с помощью CVE-2022-27510, и еще 3 тыс. угрожают оба рассматриваемых бага.
Эксперты указывают, что эти уязвимости чрезвычайно серьезны, поэтому необходимо как можно скорее установить все патчи, тем более, что для киберзлоумышленников выходные — время повышенной активности.
Короткая ссылка
