Support technique
Documentation
Connexion
Nous contacter
APT5 exploite une faille d'exécution de code à distance non authentifiée
26 décembre 2022 - L'équipe de relations publiques de TuxCare
L'Agence nationale de sécurité des États-Unis a averti qu'un groupe parrainé par l'État chinois exploite une faille d'exécution de code à distance non authentifiée (CVE-2022-27518) pour compromettre les déploiements de Citrix Application Delivery Controller (ADC). Selon la NSA, un groupe de pirates chinois connu sous le nom d'APT5 a démontré ses capacités contre un contrôleur de livraison d'applications Citrix.
Selon la NSA et Citrix, APT5 (également connu sous les noms de UNC2630 et MANGANESE), un acteur de la menace soutenu par l'État chinois et connu pour cibler les entreprises de télécommunications et de technologie, exploite activement cette vulnérabilité. APT5 a déjà exploité des vulnérabilités dans les VPN Pulse Secure. Les détails précis de l'exploitation ne sont pas disponibles publiquement.
CVE-2022-27518 est une vulnérabilité d'exécution de code à distance (RCE) qui affecte Citrix ADC ou Citrix Gateway lorsqu'ils sont configurés en tant que fournisseur de services (SP) SAML (Security Assertion Markup Language) ou fournisseur d'identité (IdP) SAML. Un attaquant distant et non authentifié peut exploiter cette vulnérabilité critique pour exécuter du code arbitraire. CVE-2022-27518 n'a pas reçu de score CVSSv3 au moment de sa publication initiale.
L'avis de la NSA démolit effectivement une opération de renseignement chinoise présumée en révélant ses techniques et en conseillant les cibles éventuelles sur la manière d'éviter de futures attaques. D'autre part, Citrix affirme que cette vulnérabilité permet à un attaquant distant non authentifié d'exécuter du code arbitraire sur l'appliance. Les attaquants peuvent exploiter cette vulnérabilité en ciblant les instances vulnérables de Citrix ADC et en contournant les contrôles d'authentification pour accéder aux organisations ciblées.
Bien que Citrix ait publié un correctif d'urgence pour remédier à la vulnérabilité, il a été signalé que "des exploitations de ce problème sur des appareils non atténués dans la nature ont été signalées."
En outre, un attaquant distant non authentifié peut exploiter la faille pour obtenir une exécution de code arbitraire sur l'appareil vulnérable. La société ajoute qu'il n'existe pas de solution de contournement pour cette vulnérabilité et que les clients qui utilisent une version affectée (ceux qui ont une configuration SAML SP ou IdP) doivent mettre à jour immédiatement.
Sa principale faille est le CWE-644, qui signifie "Improper Control of a Resource Throughout its Lifetime". Citrix ADC et Citrix Gateway 13.0 avant 13.0-58.32, Citrix ADC et Citrix Gateway 12.1 avant 12.1-65.25, Citrix ADC 12.1-FIPS avant 12.1-55.291, et Citrix ADC 12.1-NDcPP avant 12.1-55.291 font partie des produits affectés.
Les sources de cet article comprennent un article de TheHackerNews.
Regardez cette nouvelle sur notre chaîne Youtube : https://www.youtube.com/watch?v=TrZdxrcYprE&t=29s.
