ในวันพฤหัสบดีที่ผ่านมา หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และหน่วยงานความมั่นคงความปลอดภัยของสหรัฐอเมริกา ออกมาแจ้งเตือนเกี่ยวกับช่องโหว่ด้านความปลอดภัยระดับ Critical ใน Citrix NetScaler Application Delivery Controller (ADC) และอุปกรณ์เกตเวย์ ซึ่งถูกนำมาใช้เพื่อวาง web shell บนระบบที่มีช่องโหว่

ในเดือนมิถุนายน พ.ศ. 2566 ผู้โจมตีใช้ช่องโหว่นี้เป็น Zero day เพื่อวาง web shell ลงในอุปกรณ์ NetScaler ADC ขององค์กร แต่ไม่ใช่ระบบที่ใช้งานจริง (non-production)

ผู้โจมตีใช้ web shell ในการสำรวจ Active Directory (AD) ของเหยื่อ และเก็บรวบรวมข้อมูล AD เพื่อส่งออกไปยังภายนอก และพยายามโจมตีต่อไปยังเครื่อง Domain Controller เพื่อเข้าควบคุม เเต่ถูกอุปกรณ์ในเครือข่าย block การโจมตีไว้ได้

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2023-3519 (คะแนน CVSS 9.8) ซึ่งเป็นช่องโหว่ code injection ที่อาจส่งผลให้มีการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลโดยไม่ต้องผ่านการยืนยันตัวตน ซึ่งในต้นสัปดาห์นี้ทาง Citrix ได้ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าว และแจ้งเตือนถึงความรุนแรงของช่องโหว่นี้

การจะโจมตีช่องโหว่นี้ได้สำเร็จ อุปกรณ์ต้องถูกกำหนดค่าให้เป็นเกตเวย์ (VPN Virtual Server , ICA Proxy , RDP Proxy) หรือเป็น virtual server สำหรับการพิสูจน์ตัวตน, การตรวจสอบสิทธิ์ และการตรวจสอบรายละเอียดการใช้งาน (AAA)

CISA ไม่ได้เปิดเผยชื่อขององค์กรที่ได้รับผลกระทบจากเหตุการณ์นี้ และผู้โจมตี หรือประเทศที่อยู่เบื้องหลังเหตุการณ์นี้

CISA ระบุว่า Web Shell มีการรวบรวมการเปิดใช้งานการตั้งค่าไฟล์ NetScaler, คีย์การถอดรหัสของ NetScaler และข้อมูล AD หลังจากนั้นข้อมูลจะถูกส่งออกไปเป็นไฟล์ภาพ PNG ("medialogininit.

Citrix แจ้งเตือนให้ผู้ใช้งาน Citrix ADC และ Citrix Gateway รีบอัปเดตเพื่อแก้ไขช่องโหว่ Zero-day ระดับความรุนแรงสูง ซึ่งมีคะแนน CVSS v3 สูงถึง 9.8 (CVE-2022-27518) โดยเร่งด่วน เนื่องจากพบว่าช่องโหว่ดังกล่าวกำลังถูกนำมาใช้โจมตีโดยกลุ่ม Hacker APT5 ที่คาดว่าเป็นกลุ่มที่ได้รับการสนับสนุนจากรัฐบาล (State-Sponsored Hackers)

APT5 หรือที่รู้จักกันในชื่อ UNC2630 และ MANGANESE เป็นกลุ่ม Hacker ที่ได้รับการสนับสนุนจากรัฐบาลจีน (State-Sponsored Hackers) โดยผู้โจมตีมักจะใช้ช่องโหว่ Zero-Days จากอุปกรณ์ VPN ในการโจมตีเพื่อเข้าถึงระบบของเหยื่อ และขโมยข้อมูลที่มีความสำคัญออกไป เช่น ในปี 2021 พบการโจมตีของกลุ่ม APT5 ที่ใช้ช่องโหว่ Zero-day ในอุปกรณ์ Pulse Secure VPN เพื่อเจาะระบบเครือข่ายของ US Defense Industrial Base (DIB)

การโจมตี

ช่องโหว่ CVE-2022-27518 ทำให้ Hacker สามารถสั่งรันโค้ดที่เป็นอันตรายการจากระยะไกลได้ (Remote code execution) บนอุปกรณ์ Citrix ADC และ Citrix Gateway ที่มีช่องโหว่ และเข้าควบคุมเครื่องได้ ซึ่งขณะนี้ทาง Citrix ยังไม่ได้เปิดเผยรายละเอียดเกี่ยวกับขั้นตอนในการโจมตี

โดยในปี 2019 อุปกรณ์ Citrix ADC และ Citrix Gateway ก็มีช่องโหว่ Remote code execution หมายเลข CVE-2019-19781 ลักษณะคล้ายกันนี้ ซึ่งส่งผลให้เกิดการโจมตีอุปกรณ์ Citrix ADC และ Citrix Gateway ที่มีช่องโหว่เป็นวงกว้าง

ขณะนี้ทางสำนักงานความมั่นคงแห่งชาติสหรัฐ NSA (National Security Agency) ได้ออกเอกสาร "APT5: Citrix ADC Threat Hunting Guidance" ซึ่งเป็นวิธีการตรวจสอบการโจมตีอุปกรณ์ Citrix ADC และ Citrix Gateway ที่มีช่องโหว่ และวิธีการป้องกัน

Version ที่ได้รับผลกระทบ

ช่องโหว่ CVE-2022-27518 ส่งผลกระทบต่อ Citrix ADC และ Citrix Gateway Version ดังต่อไปนี้ :

Citrix ADC และ Citrix Gateway ตั้งแต่ Version13.0 ก่อนถึง Version 13.0-58.32
Citrix ADC และ Citrix Gateway ตั้งแต่ Version 12.1 ก่อนถึง Version 12.1-65.25
Citrix ADC FIPS ตั้งแต่ Version 12.1 ก่อนถึง Version 12.1-55.291
Citrix ADC NDcPP ตั้งแต่ Version 12.1 ก่อนถึง Version 12.1-55.291

โดยจะได้รับผลกระทบก็ต่อเมื่ออุปกรณ์กำหนดค่าเป็น SAML SP ( SAML service provider) หรือ SAML IdP ( SAML identity provider)

ผู้ดูแลระบบสามารถตรวจสอบการกำหนดค่าไฟล์ "ns.

Citrix เปิดตัวฟีเจอร์ที่ออกแบบมาเพื่อปิดช่องทางการนำอุปกรณ์ไปใช้ทำ Denial-of-service attack (DDoS) amplification attack บนอุปกรณ์ NetScaler ADC ที่เปิดใช้งาน Enlightened Data Transport UDP Protocol (EDT) โดยใช้โปรโตคอล DTLS ในการโจมตี

DTLS เป็นโปรโตคอล Transport Layer Security (TLS) ใน UDP ที่ใช้เพื่อรักษาความปลอดภัยและป้องกันการดักฟังและการปลอมแปลงในแอปและบริการที่มีความล่าช้า

ตามรายงานที่ปรากฏขึ้นตั้งแต่วันที่ 21 ธันวาคม 2020 มีการนำอุปกรณ์ Citrix ไปใช้ในการโจมตีแบบ DDoS amplification attack โดยผู้ประสงค์ร้ายจะใช้โปรโตคอล DTLS ที่อยู่บนอุปกรณ์ที่มีอัตราส่วนการรับและส่งข้อมูลที่สามารถนำมาใช้ในการโจมตีได้ตามหลักการของ Amplification attack ไปทำการโจมตีอุปกรณ์อื่น

จากรายงานการโจมตีดังกล่าว Citrix ได้ทำการปรับปรุงฟีเจอร์ DTLS เพื่อป้องกันการนำไปใช้ในการโจมตี อีกทั้งยังได้เพิ่มการตั้งค่า "HelloVerifyRequest" ซึ่งจะสามารถระบุช่องทางการโจมตีและจะบล็อกความพยายามของผู้โจมตีที่จะทำการโจมตี DDoS ได้ในอนาคต สำหรับอุปกรณ์ที่ได้รับการปรับปรุงฟีเจอร์ใหม่มีรายการดังนี้

Citrix ADC และ Citrix Gateway 13.0-71.44 และรุ่นที่ใหม่กว่า
NetScaler ADC และ NetScaler Gateway 12.1-60.19 และใหม่กว่า
NetScaler ADC และ NetScaler Gateway 11.1-65.16 และใหม่กว่า
ทั้งนี้ผู้ใช้งานอุปกรณ์ Citrix ADC และ NetScaler ADC สามารถทำการอัปเดตฟีเจอร์ได้โดยการดาวน์โหลดได้ที่นี่: citrix

ที่มา: bleepingcomputer

เปิดประเทศก็พอ ไม่ต้องเปิดระบบให้เขาเข้ามา! NSA ออกรายงานช่องโหว่ซึ่งมักถูกใช้โดยกลุ่มแฮกเกอร์จีนในการโจมตีระบบ

NSA ออก Cybersecurity Advisory เมื่อวันอังคารที่ผ่านมาโดยมีเนื้อหาเป็นการรวบรวมและแจ้งเตือนช่องโหว่ซึ่งมักถูกใช้โดยกลุ่มแฮกเกอร์ที่ถูกสนับสนุนโดยรัฐบาลจีนในการโจมตี พร้อมคำแนะนำในการรับมือและความเสี่ยงในการถูกโจมตีด้วย

ช่องโหว่ที่ถูกระบุในรายงานมีทั้งสิ้น 25 ช่องโหว่ โดยมีการระบุถึงช่องโหว่ชื่อดังอย่าง CVE-2019-19781 ใน Citrix ADC ซึ่งถูกใช้ทั้งจากกลุ่มแฮกเกอร์ที่รัฐบาลจีนสนับสนุนและกลุ่มแฮกเกอร์ที่รัฐบาลอิหร่านสนับสนุน แนะนำให้ตรวจสอบรายงานดังกล่าวและดำเนินการตามความเหมาะสมเพื่อลดผลกระทบจากการถูกโจมตีโดยช่องโหว่เหล่านี้

ที่มา : CISA

Citrix ได้ทำการออกเเพตซ์แก้ไขช่องโหว่ 11 รายการที่พบว่าส่งผลกระทบต่อ Citrix ADC, Citrix Gateway และ Citrix SD-WAN WANOP (อุปกรณ์รุ่น 4000-WO, 4100-WO, 5000-WO และ 5100-WO) ซึ่งแพตซ์การเเก้ไขนี้ไม่เกี่ยวข้อกับช่องโหว่การโจมตีจากระยะไกล CVE-2019-19781 ที่ได้ออกเเพตซ์ความปลอดภัยไปแล้วในเดือนมกราคม 2020 และช่องโหว่เหล่านี้ไม่มีผลต่ออุปกรณ์ Citrix เวอร์ชั่นคลาวด์

โดยช่องโหว่ที่ได้รับการเเก้ไขมีรายละเอียดที่สำคัญมีดังนี้

ช่องโหว่ CVE-2019-18177 โดยช่องโหว่เป็นประเภท Information disclosure โดยช่องโหว่ทำให้ผู้โจมตีที่ผ่านการตรวจสอบสิทธิ์ผ่าน VPN User สามารถดูข้อมูลการตั้งค่าได้ ส่วนช่องโหว่ CVE-2020-8195 และ CVE-2020-8196 เป็นช่องโหว่การเปิดเผยข้อมูลเช่นกัน โดยช่องโหว่จะทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธ์จาก NSIP สามารถดูข้อมูลการตั้งค่าได้
ช่องโหว่ CVE-2020-8187 เป็นช่องโหว่ที่ทำให้ผู้โจมตีจากระยะไกลที่ไม่ได้ทำการตรวจสอบสิทธิ์สามารถทำการ Denial of Service (DoS) ระบบได้ ช่องโหว่นี้จะมีผลกับ Citrix ADC และ Citrix Gateway 12.0 และ 11.1 เท่านั้น
ช่องโหว่ CVE-2020-8190 เป็นช่องโหว่ประเภทการยกระดับสิทธ์ ซึ่งช่องโหว่จะทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธ์จาก NSIP ทำการยกระดับสิทธิ์ได้ ส่วน CVE-2020-8199 ซึ่งเป็นเป็นช่องโหว่ประเภทการยกระดับสิทธ์เช่นกัน โดยช่องโหว่จะมีผลกระทบต่อปลั๊กอิน Citrix Gateway สำหรับ Linux ทำให้ผู้โจมตีสามารถยกระดับสิทธ์ภายใน Citrix Gateway สำหรับ Linux ได้
ช่องโหว่ CVE-2020-8191 และ CVE-2020-8198 เป็นช่องโหว่ Cross Site Scripting (XSS) ทำให้ผู้โจมตีจากระยะไกลสามารถทำการ XSS โดยการหลอกล่อให้เหยื่อทำการเปิดลิงก์ที่ควบคุมโดยผู้โจมตีในเบราว์เซอร์เพื่อทำการโจมตีผู้ใช้
ช่องโหว่ CVE-2020-8193 เป็นช่องโหว่การ Bypass การตรวจสอบสิทธ์ โดยเงื่อนไขคือผู้โจมตีต้องสามารถเข้าถึง NSIP ได้ก่อนจึงจะสามารถใช้ประโยชน์จากช่องโหว่ได้
ช่องโหว่ CVE-2020-8194 เป็นช่องโหว่ Code injection โดยเงื่อนไขของคือผู้ใช้ต้องดาวน์โหลดและดำเนินการไบนารี่ที่เป็นอันตรายจาก NSIP ก่อนจึงจะทำให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ได้

Citrix ได้แนะนำให้ผู้ใช้งานหรือผู้ดูแลระบบทำการอัพเดตเเพซต์การแก้ไขและติดตั้งให้เป็นเวอร์ชั่นใหม่ล่าสุดเพื่อป้องกันผู้ไม่หวังดีทำการใช้ประโยชน์จากช่องโหว่ดังกล่าว

ที่มา: citrix.