La National Security Agency (NSA) des États-Unis, mardi a dit un acteur malveillant suivi sous le nom d’APT5 exploite activement une faille zero-day dans Citrix Application Delivery Controller (ADC) et Gateway pour prendre le contrôle des systèmes concernés.
La vulnérabilité critique d’exécution de code à distance, identifiée comme CVE-2022-27518pourrait permettre à un attaquant non authentifié d’exécuter des commandes à distance sur des appareils vulnérables et d’en prendre le contrôle.
Une exploitation réussie nécessite cependant que l’appliance Citrix ADC ou Citrix Gateway soit configurée en tant que fournisseur de services SAML (SP) ou fournisseur d’identité SAML (IdP).
Les versions suivantes prises en charge de Citrix ADC et Citrix Gateway sont affectées par la vulnérabilité –
- Citrix ADC et Citrix Gateway 13.0 avant 13.0-58.32
- Citrix ADC et Citrix Gateway 12.1 avant 12.1-65.25
- Citrix ADC 12.1-FIPS avant 12.1-55.291
- Citrix ADC 12.1-NDcPP avant 12.1-55.291
Citrix ADC et Citrix Gateway versions 13.1 ne sont pas impactés. La société a également déclaré qu’aucune solution de contournement n’était disponible « au-delà de la désactivation de l’authentification SAML ou de la mise à niveau vers une version actuelle ».
Le fournisseur de services de virtualisation a déclaré être au courant d’un « petit nombre d’attaques ciblées dans la nature » utilisant la faille, exhortant les clients à appliquer le dernier correctif aux systèmes non atténués.
APT5, également connu sous le nom de Bronze Fleetwood, Keyhole Panda, Manganese et UNC2630, est censé opérer au nom d’intérêts chinois. L’année dernière, Mandiant a révélé une activité d’espionnage ciblant des marchés verticaux qui correspondait aux priorités du gouvernement décrites dans le 14e plan quinquennal de la Chine.
Ces attaques impliquaient l’abus d’une faille alors divulguée dans les appareils VPN Pulse Secure (CVE-2021-22893, score CVSS : 10,0) pour déployer des shells Web malveillants et exfiltrer des informations précieuses des réseaux d’entreprise.
« APT5 a démontré ses capacités par rapport aux déploiements de Citrix Application Delivery Controller », a déclaré la NSA. « Cibler les Citrix ADC peut faciliter l’accès illégitime aux organisations ciblées en contournant les contrôles d’authentification normaux. »
Microsoft, le mois dernier, a souligné l’histoire des acteurs chinois de la menace consistant à découvrir et à utiliser les jours zéro à leur avantage avant d’être récupérés par d’autres collectifs adversaires dans la nature.
La nouvelle du bogue Citrix survient également un jour après que Fortinet a révélé une vulnérabilité grave qui facilite également l’exécution de code à distance dans les appareils FortiOS SSL-VPN (CVE-2022-42475, score CVSS : 9,3).
VMWare publie des mises à jour pour les vulnérabilités d’exécution de code
Dans un développement connexe, VMware divulgué détails de deux failles critiques affectant ESXi, Fusion, Workstation et vRealize Network Insight (vRNI) qui pourraient entraîner l’injection de commandes et l’exécution de code.
- CVE-2022-31702 (score CVSS : 9,8) – Vulnérabilité d’injection de commande dans vRNI
- CVE-2022-31703 (Score CVSS : 7,5) – Vulnérabilité de traversée de répertoire dans vRNI
- CVE-2022-31705 (Score CVSS : 5,9/9,3) – Vulnérabilité d’écriture hors limites du tas dans le contrôleur EHCI
« Sur ESXi, l’exploitation est contenue dans le bac à sable VMX alors que, sur Workstation et Fusion, cela peut conduire à l’exécution de code sur la machine où Workstation ou Fusion est installé », a déclaré la société dans un bulletin de sécurité pour CVE-2022-31705.