Citrix แจ้งลูกค้าให้เร่งแก้ไขช่องโหว่ PuTTY SSH client ด้วยตนเอง เนื่องจากโหว่ดังกล่าวอาจทำให้ Hacker ขโมย private SSH key ของผู้ดูแลระบบ XenCenter ได้
XenCenter เป็นระบบที่ช่วยจัดการ Citrix Hypervisor environment จาก Windows desktop รวมถึงการ deploy และ monitor virtual machine
ช่องโหว่ดังกล่าวมีหมายเลข CVE-2024-31497 (คะแนน CVSS 5.9/10 ความรุนแรงระดับ High) เป็นช่องโหว่ที่ส่งผลกระทบต่อ XenCenter หลายเวอร์ชัน สำหรับ Citrix Hypervisor 8.2 CU1 LTSR ซึ่งรวมถึงที่ใช้ PuTTY เพื่อสร้างการเชื่อมต่อ SSH จาก XenCenter ไปยัง Guest VM เมื่อคลิกปุ่ม "Open SSH Console"
โดย Citrix ระบุว่า PuTTY third-party component ได้ถูกลบออกตั้งแต่ XenCenter 8.2.6 รวมถึงเวอร์ชันใด ๆ หลังจาก 8.2.7 อีกด้วย
โดยช่องโหว่ CVE-2024-31497 ได้ถูกพบ และรายงานโดย Fabian Bäumer และ Marcus Brinkmann จาก Ruhr University Bochum ซึ่งมีสาเหตุมาจากวิธีที่ PuTTY SSH client ที่ใช้ Windows เวอร์ชันเก่า สร้าง ECDSA nonces (ตัวเลขการเข้ารหัสเฉพาะชั่วคราว) สำหรับ NIST P-521 curve ที่ใช้สำหรับการรับรองความถูกต้อง
Citrix แจ้งว่าสำหรับลูกค้าที่ยังต้องการใช้งาน PuTTY ควรเปลี่ยนไปใช้ระบบ XenCenter ที่ได้ได้รับการอัปเดตเพื่อป้องกันช่องโหว่แล้ว (ด้วยหมายเลขเวอร์ชันอย่างน้อย 0.81) และลูกค้าที่ไม่ต้องการใช้ฟังก์ชัน "Open SSH Console" สามารถลบ PuTTY component ออกได้อย่างสมบูรณ์
ในเดือนมกราคม 2024 ทาง CISA ได้สั่งให้หน่วยงานรัฐบาลกลางของสหรัฐอเมริกาแก้ไขช่องโหว่ code injection (CVE-2023-6548) และช่องโหว่ buffer overflow (CVE-2023-6549) ของ Citrix Netscaler หนึ่งวันหลังจากที่ Citrix เตือนว่าช่องโหว่ดังกล่าวถูกกำลังถูกนำไปใช้ในการโจมตีในรูปแบบ zero-day
รวมถึงช่องโหว่ระดับ critical บน Netscaler อีก 1 รายการ ในชื่อ Citrix Bleed (CVE-2023-4966) ที่ถูกกลุ่ม Hacker นำไปใช้ในการโจมตีในรูปแบบ zero-day ไปยังองค์กรภาครัฐ และบริษัทเทคโนโลยีชั้นนำ เช่น Boeing ที่ทางศูนย์ประสานงานด้านความปลอดภัยทางไซเบอร์ในภาคส่วนด้านสุขภาพ (HHS' Cybersecurity team) ได้แจ้งเตือนให้หน่วยงานองค์กรด้านสุขภาพทั่วทังภาคส่วน ทำการอัปเดต NetScaler ADC และ NetScaler Gateway instances เพื่อป้องกันการโจมตีจาก ransomware
ที่มา : bleepingcomputer
You must be logged in to post a comment.