APT5 nutzt Schwachstelle für unautorisierte Remotecodeausführung aus

Die U.S. National Security Agency (NSA) hat davor gewarnt, dass eine vom chinesischen Staat gesponserte Gruppe eine nicht authentifizierte Schwachstelle zur Remotecodeausführung (CVE-2022-27518) ausnutzt, um Citrix Application Delivery Controller (ADC)-Implementierungen zu gefährden. Nach Angaben der NSA hat eine chinesische Hackergruppe, die als APT5 bekannt ist, Fähigkeiten gegen einen Citrix Application Delivery Controller demonstriert.

Nach Angaben der NSA und von Citrix nutzt APT5 (auch bekannt als UNC2630 und MANGANESE), ein vom chinesischen Staat unterstützter Bedrohungsakteur, der dafür bekannt ist, Telekommunikations- und Technologieunternehmen anzugreifen, diese Schwachstelle aktiv aus. APT5 hat bereits früher Schwachstellen in Pulse Secure VPNs ausgenutzt. Die genauen Details der Sicherheitslücke sind nicht öffentlich zugänglich.

CVE-2022-27518 ist eine Sicherheitsanfälligkeit für Remotecodeausführung (RCE), die Citrix ADC oder Citrix Gateway betrifft, wenn diese als SAML-Dienstanbieter (SP) oder SAML-Identitätsanbieter (IdP) konfiguriert sind. Ein entfernter, nicht authentifizierter Angreifer kann diese kritische Sicherheitslücke ausnutzen, um beliebigen Code auszuführen. CVE-2022-27518 erhielt zum Zeitpunkt der ersten Veröffentlichung keine CVSSv3-Bewertung.

Das NSA-Gutachten macht eine mutmaßliche Operation des chinesischen Geheimdienstes zunichte, indem es dessen Techniken aufdeckt und möglichen Zielen Ratschläge gibt, wie sie künftige Angriffe vermeiden können. Andererseits behauptet Citrix, dass diese Schwachstelle einem nicht authentifizierten Angreifer die Ausführung von beliebigem Code auf der Appliance ermöglicht. Angreifer können diese Schwachstelle ausnutzen, indem sie anfällige Citrix ADC-Instanzen anvisieren und die Authentifizierungskontrollen umgehen, um Zugang zu den Zielorganisationen zu erhalten.

Trotz der Tatsache, dass Citrix einen Notfall-Patch zur Behebung der Schwachstelle herausgegeben hat, wurde berichtet, dass "Ausnutzungen dieser Schwachstelle auf nicht eingeschränkten Appliances in freier Wildbahn gemeldet wurden".

Außerdem kann ein nicht authentifizierter, entfernter Angreifer die Schwachstelle ausnutzen, um beliebigen Code auf der anfälligen Appliance auszuführen. Weiter heißt es, dass es keine Umgehungsmöglichkeiten für diese Schwachstelle gibt und dass Kunden, die eine betroffene Version verwenden (solche mit einer SAML SP- oder IdP-Konfiguration), sofort ein Update durchführen sollten.

Die Hauptschwachstelle ist CWE-644, was für Improper Control of a Resource Throughout its Lifetime steht. Citrix ADC und Citrix Gateway 13.0 vor 13.0-58.32, Citrix ADC und Citrix Gateway 12.1 vor 12.1-65.25, Citrix ADC 12.1-FIPS vor 12.1-55.291 und Citrix ADC 12.1-NDcPP vor 12.1-55.291 gehören zu den betroffenen Produkten.

Zu den Quellen für diesen Beitrag gehört ein Artikel in TheHackerNews.

Sehen Sie sich diese Nachricht auf unserem Youtube-Kanal an: https://www.youtube.com/watch?v=TrZdxrcYprE&t=29s

Zusammenfassung

Artikel Name

APT5 nutzt Schwachstelle für unautorisierte Remotecodeausführung aus

Beschreibung

Eine vom chinesischen Staat gesponserte Gruppe nutzt eine Schwachstelle zur unauthentifizierten Remotecodeausführung aus (CVE-2022-27518).

Autor

Obanla Opeyemi

Name des Herausgebers

TuxCare

Logo des Herausgebers