APT5 explota un fallo de ejecución remota de código sin autenticación

La Agencia de Seguridad Nacional de Estados Unidos (NSA) ha advertido de que un grupo patrocinado por el estado chino está explotando un fallo de ejecución remota de código no autenticado (CVE-2022-27518) para comprometer los despliegues de Citrix Application Delivery Controller (ADC). Según la NSA, un grupo de hackers chino conocido como APT5 ha demostrado sus capacidades contra un controlador de entrega de aplicaciones de Citrix.

Según la NSA y Citrix, APT5 (también conocido como UNC2630 y MANGANESE), un actor de amenazas respaldado por el estado chino conocido por atacar empresas de telecomunicaciones y tecnología, está explotando activamente esta vulnerabilidad. APT5 ya ha explotado vulnerabilidades en VPNs Pulse Secure. Los detalles exactos del ataque no se han hecho públicos.

CVE-2022-27518 es una vulnerabilidad de ejecución remota de código (RCE) que afecta a Citrix ADC o Citrix Gateway cuando se configuran como proveedores de servicios (SP) o proveedores de identidades (IdP) SAML. Un atacante remoto no autenticado puede explotar la vulnerabilidad crítica para ejecutar código arbitrario. CVE-2022-27518 no recibió una puntuación CVSSv3 en el momento de su publicación inicial.

El aviso de la NSA echa por tierra una supuesta operación de inteligencia china al revelar sus técnicas y aconsejar a los posibles objetivos sobre cómo evitar futuros ataques. Por otro lado, Citrix afirma que esta vulnerabilidad permite a un atacante remoto no autenticado ejecutar código arbitrario en el dispositivo. Los atacantes pueden explotar esta vulnerabilidad dirigiéndose a instancias vulnerables de Citrix ADC y saltándose los controles de autenticación para obtener acceso a las organizaciones objetivo.

A pesar de que Citrix ha publicado un parche de emergencia para solucionar la vulnerabilidad, se ha informado de que "se han reportado exploits de este problema en appliances no mitigados in the wild."

Además, un atacante remoto no autenticado puede explotar el fallo para obtener la ejecución de código arbitrario en el dispositivo vulnerable. Continúa diciendo que no hay soluciones para esta vulnerabilidad y que los clientes que estén ejecutando una versión afectada (aquellos con una configuración SAML SP o IdP) deben actualizar inmediatamente.

Su defecto principal es el CWE-644, que significa Control inadecuado de un recurso durante toda su vida útil. Entre los productos afectados se encuentran Citrix ADC y Citrix Gateway 13.0 antes de 13.0-58.32, Citrix ADC y Citrix Gateway 12.1 antes de 12.1-65.25, Citrix ADC 12.1-FIPS antes de 12.1-55.291 y Citrix ADC 12.1-NDcPP antes de 12.1-55.291.

Las fuentes de este artículo incluyen un artículo en TheHackerNews.

Vea esta noticia en nuestro canal de Youtube: https://www.youtube.com/watch?v=TrZdxrcYprE&t=29s

Resumen

Nombre del artículo

APT5 explota un fallo de ejecución remota de código sin autenticación

Descripción

Un grupo patrocinado por el estado chino está explotando un fallo de ejecución remota de código sin autenticación (CVE-2022-27518).

Autor

Obanla Opeyemi

Nombre del editor

TuxCare

Logotipo de la editorial