MKD-CIRT National Centre for Computer Incident Response
Илјадници Citrix Application Delivery Controller (ADC) и Gateway крајни точки остануваат ранливи на два критични безбедносни пропусти откриени од страна на компанијата во последните неколку месеци.
Прашањата за кои станува збор се CVE-2022-27510 и CVE-2022-27518 (CVSS: 9,8), кои беа адресирани од давателот на услуги за виртуелизација на 8 ноември и 13 декември 2022 година.
Додека CVE-2022-27510 се однесува на bypass автентикација што може да се искористи за да се добие неовластен пристап до можностите на корисниците на Gateway, CVE-2022-27518 се однесува на грешка при далечинско извршување на кодот што може да овозможи преземање на засегнатите системи.
Citrix и U.S. National Security Agency (NSA), претходно овој месец, предупредија дека CVE-2022-27518 активно се експлоатира од страна на напаѓачите, вклучувајќи ја и групата поврзана со Кина APT5, спонзорирана од државата.
Според новата анализа на истражувачкиот тим на Fox-IT на NCC Group, илјадници Citrix сервери се сè уште незакрпени, што ги прави атрактивна цел за хакерите.
Ова вклучува над 3.500 сервери Citrix ADC и Gateway кои работат со верзијата 12.1-65.21 кои се подложни на CVE-2022-27518, како и повеќе од 500 сервери кои работат 12.1-63.22 кои се ранливи на двете недостатоци.
Поголемиот дел од серверите, не помалку од 5.000, работат 13.0-88.14, верзија која е имуна на CVE-2022-27510 и CVE-2022-27518.
Прегледот во земјата покажува дека повеќе од 40% од серверите лоцирани во Данска, Холандија, Австрија, Германија, Франција, Сингапур, Австралија, Велика Британија и САД се ажурирани, а најлошо е во Кина, каде што само 20% од скоро 550 сервери се закрпени.
Fox-IT изјави дека е во можност да ја заштити верзијата на информациите од MD5 слична на хаш вредноста присутна во одговорот на HTTP на URL-адресата за најава (т.е., „ns_gui/vpn/index.html“) и да ги мапира на нивните соодветни верзии.
Извор: The Hacker News