พบช่องโหว่ด้านความปลอดภัยระดับ Critical 2 รายการ ในผลิตภัณฑ์ NetScaler ADC และ NetScaler Gateway ซึ่งเดิมคือ Citrix ADC และ Gateway ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่มีความสำคัญ และส่งผลกระทบต่อความปลอดภัยของเครือข่ายได้

Cloud Software Group ซึ่งเป็นผู้พัฒนาโซลูชันด้านเครือข่ายดังกล่าว ได้ออกประกาศแจ้งเตือนด้านความปลอดภัยอย่างเร่งด่วน เพื่อแนะนำให้ลูกค้าอัปเดตระบบของตนทันที

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2025-5349 และ CVE-2025-5777 ซึ่งทั้ง 2 รายการมีระดับความรุนแรง Critical โดยมีคะแนน CVSS อยู่ที่ 8.7 และ 9.3 ตามลำดับ

โดย CVE-2025-5349 เป็นช่องโหว่ improper access control บน NetScaler Management Interface ในขณะที่ช่องโหว่ CVE-2025-5777 เกิดจากการตรวจสอบ input validation ที่ไม่เหมาะสม ส่งผลให้เกิดปัญหา memory overread ได้

ช่องโหว่แรกจำเป็นต้องเข้าถึง Network Services IP (NSIP), Cluster Management IP หรือ Local Global Server Load Balancing (GSLB) Site IP จึงจะสามารถโจมตีได้สำเร็จ

สำหรับช่องโหว่ที่สองมีระดับความรุนแรงสูงกว่า โดยจะมีผลกระทบกับระบบ NetScaler ที่กำหนดค่าให้ทำหน้าที่เป็น Gateway รวมถึง VPN virtual servers, ICA Proxy, Citrix Virtual Private Network (CVPN), Remote Desktop Protocol (RDP) Proxy หรือ Authentication, Authorization, and Accounting (AAA)  บน virtual servers

เวอร์ชันที่ได้รับผลกระทบ

ช่องโหว่ด้านความปลอดภัยนี้ส่งผลกระทบต่อหลายเวอร์ชันของผลิตภัณฑ์ NetScaler ที่ยังถูกใช้งานโดยองค์กรต่าง ๆ ทั่วโลก โดยระบบที่มีความเสี่ยงได้แก่ NetScaler ADC และ Gateway เวอร์ชัน 14.1 ก่อน "14.1-43.56", เวอร์ชัน 13.1 ก่อน "13.1-58.32", รวมถึงเวอร์ชันที่รองรับ FIPS

สิ่งที่น่ากังวลคือ NetScaler เวอร์ชัน 12.1 และ 13.0 ปัจจุบันอยู่ในสถานะ End of Life (EOL) ไปแล้ว ซึ่งทำให้มีความเสี่ยงต่อการโจมตีเนื่องจากไม่มีแพตช์ด้านความปลอดภัยแล้ว

องค์กรที่ใช้งานโซลูชัน Secure Private Access แบบ On-premises หรือการใช้งานแบบ Hybrid ร่วมกับระบบ NetScaler ก็อยู่ในกลุ่มที่มีความเสี่ยง และจำเป็นต้องดำเนินการอัปเกรดระบบทันที เพื่อความปลอดภัย อย่างไรก็ตาม สำหรับลูกค้าที่ใช้งานผ่านบริการคลาวด์ที่จัดการโดย Citrix จะได้รับการอัปเดตโดยอัตโนมัติจาก Cloud Software Group

Cloud Software Group แนะนำให้ลูกค้าที่ได้รับผลกระทบดำเนินการติดตั้งเวอร์ชันที่ได้รับการอัปเดตทันที โดยบริษัทฯ ได้ออกแพตช์แก้ไขแล้วใน NetScaler ADC และ Gateway เวอร์ชัน 14.1-43.56, เวอร์ชัน 13.1-58.32 และการอัปเดตสำหรับเวอร์ชันที่รองรับมาตรฐาน FIPS

หลังจากการอัปเกรด ผู้ดูแลระบบควรดำเนินการ specific commands เพื่อ terminate ทุก ICA และ PCoIP sessions ที่ใช้งานอยู่ในอุปกรณ์ NetScaler ทั้งหมด โดยเฉพาะในกรณีที่มีการใช้งานแบบ High Availability (HA) หรือ Cluster เพื่อให้แน่ใจว่าระบบได้รับการป้องกันอย่างสมบูรณ์

ช่องโหว่เหล่านี้ถูกค้นพบ และรายงานโดยนักวิจัยด้านความปลอดภัยจาก Positive Technologies และ ITA MOD CERT (CERTDIFESA) ซึ่งได้ร่วมมือกับ Cloud Software Group เพื่อปกป้องลูกค้าก่อนที่จะมีการเปิดเผยช่องโหว่ออกสู่สาธารณะ

องค์กรที่ใช้งาน NetScaler ควรให้ความสำคัญกับการอัปเดตครั้งนี้โดยด่วน เนื่องจากช่องโหว่เหล่านี้มีระดับความรุนแรงสูง และอาจถูกนำไปใช้เพื่อเข้าถึงข้อมูลสำคัญ และทรัพยากรในระบบเครือข่ายโดยไม่ได้รับอนุญาต

ที่มา : cybersecuritynews

ในวันพฤหัสบดีที่ผ่านมา หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และหน่วยงานความมั่นคงความปลอดภัยของสหรัฐอเมริกา ออกมาแจ้งเตือนเกี่ยวกับช่องโหว่ด้านความปลอดภัยระดับ Critical ใน Citrix NetScaler Application Delivery Controller (ADC) และอุปกรณ์เกตเวย์ ซึ่งถูกนำมาใช้เพื่อวาง web shell บนระบบที่มีช่องโหว่

ในเดือนมิถุนายน พ.ศ. 2566 ผู้โจมตีใช้ช่องโหว่นี้เป็น Zero day เพื่อวาง web shell ลงในอุปกรณ์ NetScaler ADC ขององค์กร แต่ไม่ใช่ระบบที่ใช้งานจริง (non-production)

ผู้โจมตีใช้ web shell ในการสำรวจ Active Directory (AD) ของเหยื่อ และเก็บรวบรวมข้อมูล AD เพื่อส่งออกไปยังภายนอก และพยายามโจมตีต่อไปยังเครื่อง Domain Controller เพื่อเข้าควบคุม เเต่ถูกอุปกรณ์ในเครือข่าย block การโจมตีไว้ได้

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2023-3519 (คะแนน CVSS 9.8) ซึ่งเป็นช่องโหว่ code injection ที่อาจส่งผลให้มีการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลโดยไม่ต้องผ่านการยืนยันตัวตน ซึ่งในต้นสัปดาห์นี้ทาง Citrix ได้ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าว และแจ้งเตือนถึงความรุนแรงของช่องโหว่นี้

การจะโจมตีช่องโหว่นี้ได้สำเร็จ อุปกรณ์ต้องถูกกำหนดค่าให้เป็นเกตเวย์ (VPN Virtual Server , ICA Proxy , RDP Proxy) หรือเป็น virtual server สำหรับการพิสูจน์ตัวตน, การตรวจสอบสิทธิ์ และการตรวจสอบรายละเอียดการใช้งาน (AAA)

CISA ไม่ได้เปิดเผยชื่อขององค์กรที่ได้รับผลกระทบจากเหตุการณ์นี้ และผู้โจมตี หรือประเทศที่อยู่เบื้องหลังเหตุการณ์นี้

CISA ระบุว่า Web Shell มีการรวบรวมการเปิดใช้งานการตั้งค่าไฟล์ NetScaler, คีย์การถอดรหัสของ NetScaler และข้อมูล AD หลังจากนั้นข้อมูลจะถูกส่งออกไปเป็นไฟล์ภาพ PNG ("medialogininit.

Citrix แจ้งเตือนให้ผู้ใช้งาน Citrix ADC และ Citrix Gateway รีบอัปเดตเพื่อแก้ไขช่องโหว่ Zero-day ระดับความรุนแรงสูง ซึ่งมีคะแนน CVSS v3 สูงถึง 9.8 (CVE-2022-27518) โดยเร่งด่วน เนื่องจากพบว่าช่องโหว่ดังกล่าวกำลังถูกนำมาใช้โจมตีโดยกลุ่ม Hacker APT5 ที่คาดว่าเป็นกลุ่มที่ได้รับการสนับสนุนจากรัฐบาล (State-Sponsored Hackers)

APT5 หรือที่รู้จักกันในชื่อ UNC2630 และ MANGANESE เป็นกลุ่ม Hacker ที่ได้รับการสนับสนุนจากรัฐบาลจีน (State-Sponsored Hackers) โดยผู้โจมตีมักจะใช้ช่องโหว่ Zero-Days จากอุปกรณ์ VPN ในการโจมตีเพื่อเข้าถึงระบบของเหยื่อ และขโมยข้อมูลที่มีความสำคัญออกไป เช่น ในปี 2021 พบการโจมตีของกลุ่ม APT5 ที่ใช้ช่องโหว่ Zero-day ในอุปกรณ์ Pulse Secure VPN เพื่อเจาะระบบเครือข่ายของ US Defense Industrial Base (DIB)

การโจมตี

ช่องโหว่ CVE-2022-27518 ทำให้ Hacker สามารถสั่งรันโค้ดที่เป็นอันตรายการจากระยะไกลได้ (Remote code execution) บนอุปกรณ์ Citrix ADC และ Citrix Gateway ที่มีช่องโหว่ และเข้าควบคุมเครื่องได้ ซึ่งขณะนี้ทาง Citrix ยังไม่ได้เปิดเผยรายละเอียดเกี่ยวกับขั้นตอนในการโจมตี

โดยในปี 2019 อุปกรณ์ Citrix ADC และ Citrix Gateway ก็มีช่องโหว่ Remote code execution หมายเลข CVE-2019-19781 ลักษณะคล้ายกันนี้ ซึ่งส่งผลให้เกิดการโจมตีอุปกรณ์ Citrix ADC และ Citrix Gateway ที่มีช่องโหว่เป็นวงกว้าง

ขณะนี้ทางสำนักงานความมั่นคงแห่งชาติสหรัฐ NSA (National Security Agency) ได้ออกเอกสาร "APT5: Citrix ADC Threat Hunting Guidance" ซึ่งเป็นวิธีการตรวจสอบการโจมตีอุปกรณ์ Citrix ADC และ Citrix Gateway ที่มีช่องโหว่ และวิธีการป้องกัน

Version ที่ได้รับผลกระทบ

ช่องโหว่ CVE-2022-27518 ส่งผลกระทบต่อ Citrix ADC และ Citrix Gateway Version ดังต่อไปนี้ :

Citrix ADC และ Citrix Gateway ตั้งแต่ Version13.0 ก่อนถึง Version 13.0-58.32
Citrix ADC และ Citrix Gateway ตั้งแต่ Version 12.1 ก่อนถึง Version 12.1-65.25
Citrix ADC FIPS ตั้งแต่ Version 12.1 ก่อนถึง Version 12.1-55.291
Citrix ADC NDcPP ตั้งแต่ Version 12.1 ก่อนถึง Version 12.1-55.291

โดยจะได้รับผลกระทบก็ต่อเมื่ออุปกรณ์กำหนดค่าเป็น SAML SP ( SAML service provider) หรือ SAML IdP ( SAML identity provider)

ผู้ดูแลระบบสามารถตรวจสอบการกำหนดค่าไฟล์ "ns.

Citrix เปิดตัวฟีเจอร์ที่ออกแบบมาเพื่อปิดช่องทางการนำอุปกรณ์ไปใช้ทำ Denial-of-service attack (DDoS) amplification attack บนอุปกรณ์ NetScaler ADC ที่เปิดใช้งาน Enlightened Data Transport UDP Protocol (EDT) โดยใช้โปรโตคอล DTLS ในการโจมตี

DTLS เป็นโปรโตคอล Transport Layer Security (TLS) ใน UDP ที่ใช้เพื่อรักษาความปลอดภัยและป้องกันการดักฟังและการปลอมแปลงในแอปและบริการที่มีความล่าช้า

ตามรายงานที่ปรากฏขึ้นตั้งแต่วันที่ 21 ธันวาคม 2020 มีการนำอุปกรณ์ Citrix ไปใช้ในการโจมตีแบบ DDoS amplification attack โดยผู้ประสงค์ร้ายจะใช้โปรโตคอล DTLS ที่อยู่บนอุปกรณ์ที่มีอัตราส่วนการรับและส่งข้อมูลที่สามารถนำมาใช้ในการโจมตีได้ตามหลักการของ Amplification attack ไปทำการโจมตีอุปกรณ์อื่น

จากรายงานการโจมตีดังกล่าว Citrix ได้ทำการปรับปรุงฟีเจอร์ DTLS เพื่อป้องกันการนำไปใช้ในการโจมตี อีกทั้งยังได้เพิ่มการตั้งค่า "HelloVerifyRequest" ซึ่งจะสามารถระบุช่องทางการโจมตีและจะบล็อกความพยายามของผู้โจมตีที่จะทำการโจมตี DDoS ได้ในอนาคต สำหรับอุปกรณ์ที่ได้รับการปรับปรุงฟีเจอร์ใหม่มีรายการดังนี้

Citrix ADC และ Citrix Gateway 13.0-71.44 และรุ่นที่ใหม่กว่า
NetScaler ADC และ NetScaler Gateway 12.1-60.19 และใหม่กว่า
NetScaler ADC และ NetScaler Gateway 11.1-65.16 และใหม่กว่า
ทั้งนี้ผู้ใช้งานอุปกรณ์ Citrix ADC และ NetScaler ADC สามารถทำการอัปเดตฟีเจอร์ได้โดยการดาวน์โหลดได้ที่นี่: citrix

ที่มา: bleepingcomputer

เปิดประเทศก็พอ ไม่ต้องเปิดระบบให้เขาเข้ามา! NSA ออกรายงานช่องโหว่ซึ่งมักถูกใช้โดยกลุ่มแฮกเกอร์จีนในการโจมตีระบบ

NSA ออก Cybersecurity Advisory เมื่อวันอังคารที่ผ่านมาโดยมีเนื้อหาเป็นการรวบรวมและแจ้งเตือนช่องโหว่ซึ่งมักถูกใช้โดยกลุ่มแฮกเกอร์ที่ถูกสนับสนุนโดยรัฐบาลจีนในการโจมตี พร้อมคำแนะนำในการรับมือและความเสี่ยงในการถูกโจมตีด้วย

ช่องโหว่ที่ถูกระบุในรายงานมีทั้งสิ้น 25 ช่องโหว่ โดยมีการระบุถึงช่องโหว่ชื่อดังอย่าง CVE-2019-19781 ใน Citrix ADC ซึ่งถูกใช้ทั้งจากกลุ่มแฮกเกอร์ที่รัฐบาลจีนสนับสนุนและกลุ่มแฮกเกอร์ที่รัฐบาลอิหร่านสนับสนุน แนะนำให้ตรวจสอบรายงานดังกล่าวและดำเนินการตามความเหมาะสมเพื่อลดผลกระทบจากการถูกโจมตีโดยช่องโหว่เหล่านี้

ที่มา : CISA

Citrix ได้ทำการออกเเพตซ์แก้ไขช่องโหว่ 11 รายการที่พบว่าส่งผลกระทบต่อ Citrix ADC, Citrix Gateway และ Citrix SD-WAN WANOP (อุปกรณ์รุ่น 4000-WO, 4100-WO, 5000-WO และ 5100-WO) ซึ่งแพตซ์การเเก้ไขนี้ไม่เกี่ยวข้อกับช่องโหว่การโจมตีจากระยะไกล CVE-2019-19781 ที่ได้ออกเเพตซ์ความปลอดภัยไปแล้วในเดือนมกราคม 2020 และช่องโหว่เหล่านี้ไม่มีผลต่ออุปกรณ์ Citrix เวอร์ชั่นคลาวด์

โดยช่องโหว่ที่ได้รับการเเก้ไขมีรายละเอียดที่สำคัญมีดังนี้

ช่องโหว่ CVE-2019-18177 โดยช่องโหว่เป็นประเภท Information disclosure โดยช่องโหว่ทำให้ผู้โจมตีที่ผ่านการตรวจสอบสิทธิ์ผ่าน VPN User สามารถดูข้อมูลการตั้งค่าได้ ส่วนช่องโหว่ CVE-2020-8195 และ CVE-2020-8196 เป็นช่องโหว่การเปิดเผยข้อมูลเช่นกัน โดยช่องโหว่จะทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธ์จาก NSIP สามารถดูข้อมูลการตั้งค่าได้
ช่องโหว่ CVE-2020-8187 เป็นช่องโหว่ที่ทำให้ผู้โจมตีจากระยะไกลที่ไม่ได้ทำการตรวจสอบสิทธิ์สามารถทำการ Denial of Service (DoS) ระบบได้ ช่องโหว่นี้จะมีผลกับ Citrix ADC และ Citrix Gateway 12.0 และ 11.1 เท่านั้น
ช่องโหว่ CVE-2020-8190 เป็นช่องโหว่ประเภทการยกระดับสิทธ์ ซึ่งช่องโหว่จะทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธ์จาก NSIP ทำการยกระดับสิทธิ์ได้ ส่วน CVE-2020-8199 ซึ่งเป็นเป็นช่องโหว่ประเภทการยกระดับสิทธ์เช่นกัน โดยช่องโหว่จะมีผลกระทบต่อปลั๊กอิน Citrix Gateway สำหรับ Linux ทำให้ผู้โจมตีสามารถยกระดับสิทธ์ภายใน Citrix Gateway สำหรับ Linux ได้
ช่องโหว่ CVE-2020-8191 และ CVE-2020-8198 เป็นช่องโหว่ Cross Site Scripting (XSS) ทำให้ผู้โจมตีจากระยะไกลสามารถทำการ XSS โดยการหลอกล่อให้เหยื่อทำการเปิดลิงก์ที่ควบคุมโดยผู้โจมตีในเบราว์เซอร์เพื่อทำการโจมตีผู้ใช้
ช่องโหว่ CVE-2020-8193 เป็นช่องโหว่การ Bypass การตรวจสอบสิทธ์ โดยเงื่อนไขคือผู้โจมตีต้องสามารถเข้าถึง NSIP ได้ก่อนจึงจะสามารถใช้ประโยชน์จากช่องโหว่ได้
ช่องโหว่ CVE-2020-8194 เป็นช่องโหว่ Code injection โดยเงื่อนไขของคือผู้ใช้ต้องดาวน์โหลดและดำเนินการไบนารี่ที่เป็นอันตรายจาก NSIP ก่อนจึงจะทำให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ได้

Citrix ได้แนะนำให้ผู้ใช้งานหรือผู้ดูแลระบบทำการอัพเดตเเพซต์การแก้ไขและติดตั้งให้เป็นเวอร์ชั่นใหม่ล่าสุดเพื่อป้องกันผู้ไม่หวังดีทำการใช้ประโยชน์จากช่องโหว่ดังกล่าว

ที่มา: citrix.