Krytyczna luka w produktach Citrix. Chińscy hakerzy już ją wykorzystują

Dzień po tym, jak ujawniono krytyczną lukę w systemie Fortinet (więcej w tym materiale firma Citrix poinformowała o wykryciu równie poważnej podatności w swoich rozwiązaniach. CVE-2022-27518 pozwala osobom trzecim na nieuwierzytelnione zdalne wykonanie dowolnego kodu.

Problem dotyczy takich produktów jak Citrix Gateway i Citrix ADC. Mowa o ich następujących wersjach:

• Citrix ADC i Citrix Gateway 13.0 przed 13.0-58.32 
• Citrix ADC i Citrix Gateway 12.1 przed 12.1-65.25 
• Citrix ADC 12.1-FIPS przed 12.1-55.291 
• Citrix ADC 12.1-NDcPP przed 12.1-55.291 

W przypadku korzystania z którejś z nich konieczne jest jak najszybsze dokonanie aktualizacji. Wynika to z faktu, że wrogie podmioty już używają luki do prowadzenia cyberataków.

Chińska grupa już działa

Przykładem może być chińska grupa APT5 (znana również jako UNC2630 i MANGANESE.). W związku z aktywnością hakerów wspieranych przez Pekin amerykańska NSA (National Security Agency) wydała specjalny alert bezpieczeństwa, w którym wskazała, że wykorzystują oni lukę w produktach Citrix w ramach swoich kampanii. Za jej pomocą członkowie grupy uzyskują dostęp do infrastruktury celów.

APT5 działa od co najmniej 2007 roku i skupia się na cyberatakach wymierzonych w m.in. firmy telekomunikacyjne i technologicznie, zwłaszcza powiązane z sektorem obronnym.

Powszechne ryzyko

W ciągu dwóch dni ujawniono dwie krytyczne luki bezpieczeństwa u znanych dostawców rozwiązań IT, co w praktyce oznacza, że skala problemu jest znacząca. Ryzyko dotyczy dużej liczby podmiotów, w tym instytucji państwowych, z różnych krajów. Jednym z nich jest Polska, gdzie nie brakuje użytkowników produktów z wymienionymi podatnościami.

Prawdopodobny jest scenariusz, gdzie z czasem będą pojawiały się doniesienia o cyberatakach wykorzystujących wspomniane podatności. Hakerzy oraz cyberprzestępcy analizują katalog nowych luk, aby za ich pomocom zdążyć z przeprowadzeniem skutecznej operacji.