Citrix NetScaler ADC และอุปกรณ์ Gateway กำลังถูกโจมตี CISA แจ้งเตือนให้ดำเนินการแก้ไขอย่างเร่งด่วน

ในวันพฤหัสบดีที่ผ่านมา หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และหน่วยงานความมั่นคงความปลอดภัยของสหรัฐอเมริกา ออกมาแจ้งเตือนเกี่ยวกับช่องโหว่ด้านความปลอดภัยระดับ Critical ใน Citrix NetScaler Application Delivery Controller (ADC) และอุปกรณ์เกตเวย์ ซึ่งถูกนำมาใช้เพื่อวาง web shell บนระบบที่มีช่องโหว่

ในเดือนมิถุนายน พ.ศ. 2566 ผู้โจมตีใช้ช่องโหว่นี้เป็น Zero day เพื่อวาง web shell ลงในอุปกรณ์ NetScaler ADC ขององค์กร แต่ไม่ใช่ระบบที่ใช้งานจริง (non-production)

ผู้โจมตีใช้ web shell ในการสำรวจ Active Directory (AD) ของเหยื่อ และเก็บรวบรวมข้อมูล AD เพื่อส่งออกไปยังภายนอก และพยายามโจมตีต่อไปยังเครื่อง Domain Controller เพื่อเข้าควบคุม เเต่ถูกอุปกรณ์ในเครือข่าย block การโจมตีไว้ได้

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2023-3519 (คะแนน CVSS 9.8) ซึ่งเป็นช่องโหว่ code injection ที่อาจส่งผลให้มีการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลโดยไม่ต้องผ่านการยืนยันตัวตน ซึ่งในต้นสัปดาห์นี้ทาง Citrix ได้ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าว และแจ้งเตือนถึงความรุนแรงของช่องโหว่นี้

การจะโจมตีช่องโหว่นี้ได้สำเร็จ อุปกรณ์ต้องถูกกำหนดค่าให้เป็นเกตเวย์ (VPN Virtual Server , ICA Proxy , RDP Proxy) หรือเป็น virtual server สำหรับการพิสูจน์ตัวตน, การตรวจสอบสิทธิ์ และการตรวจสอบรายละเอียดการใช้งาน (AAA)

CISA ไม่ได้เปิดเผยชื่อขององค์กรที่ได้รับผลกระทบจากเหตุการณ์นี้ และผู้โจมตี หรือประเทศที่อยู่เบื้องหลังเหตุการณ์นี้

CISA ระบุว่า Web Shell มีการรวบรวมการเปิดใช้งานการตั้งค่าไฟล์ NetScaler, คีย์การถอดรหัสของ NetScaler และข้อมูล AD หลังจากนั้นข้อมูลจะถูกส่งออกไปเป็นไฟล์ภาพ PNG ("medialogininit.

พบช่องโหว่ Zero Day ระดับความรุนแรงสูงบน Citrix ADC และ Citrix Gateway ผู้ใช้งานควรอัปเดตโดยเร็วที่สุด

Citrix แจ้งเตือนให้ผู้ใช้งาน Citrix ADC และ Citrix Gateway รีบอัปเดตเพื่อแก้ไขช่องโหว่ Zero-day ระดับความรุนแรงสูง ซึ่งมีคะแนน CVSS v3 สูงถึง 9.8 (CVE-2022-27518) โดยเร่งด่วน เนื่องจากพบว่าช่องโหว่ดังกล่าวกำลังถูกนำมาใช้โจมตีโดยกลุ่ม Hacker APT5 ที่คาดว่าเป็นกลุ่มที่ได้รับการสนับสนุนจากรัฐบาล (State-Sponsored Hackers)

APT5 หรือที่รู้จักกันในชื่อ UNC2630 และ MANGANESE เป็นกลุ่ม Hacker ที่ได้รับการสนับสนุนจากรัฐบาลจีน (State-Sponsored Hackers) โดยผู้โจมตีมักจะใช้ช่องโหว่ Zero-Days จากอุปกรณ์ VPN ในการโจมตีเพื่อเข้าถึงระบบของเหยื่อ และขโมยข้อมูลที่มีความสำคัญออกไป เช่น ในปี 2021 พบการโจมตีของกลุ่ม APT5 ที่ใช้ช่องโหว่ Zero-day ในอุปกรณ์ Pulse Secure VPN เพื่อเจาะระบบเครือข่ายของ US Defense Industrial Base (DIB)

การโจมตี

ช่องโหว่ CVE-2022-27518 ทำให้ Hacker สามารถสั่งรันโค้ดที่เป็นอันตรายการจากระยะไกลได้ (Remote code execution) บนอุปกรณ์ Citrix ADC และ Citrix Gateway ที่มีช่องโหว่ และเข้าควบคุมเครื่องได้ ซึ่งขณะนี้ทาง Citrix ยังไม่ได้เปิดเผยรายละเอียดเกี่ยวกับขั้นตอนในการโจมตี

โดยในปี 2019 อุปกรณ์ Citrix ADC และ Citrix Gateway ก็มีช่องโหว่ Remote code execution หมายเลข CVE-2019-19781 ลักษณะคล้ายกันนี้ ซึ่งส่งผลให้เกิดการโจมตีอุปกรณ์ Citrix ADC และ Citrix Gateway ที่มีช่องโหว่เป็นวงกว้าง

ขณะนี้ทางสำนักงานความมั่นคงแห่งชาติสหรัฐ NSA (National Security Agency) ได้ออกเอกสาร "APT5: Citrix ADC Threat Hunting Guidance" ซึ่งเป็นวิธีการตรวจสอบการโจมตีอุปกรณ์ Citrix ADC และ Citrix Gateway ที่มีช่องโหว่ และวิธีการป้องกัน

Version ที่ได้รับผลกระทบ

ช่องโหว่ CVE-2022-27518 ส่งผลกระทบต่อ Citrix ADC และ Citrix Gateway Version ดังต่อไปนี้ :

Citrix ADC และ Citrix Gateway ตั้งแต่ Version13.0 ก่อนถึง Version 13.0-58.32
Citrix ADC และ Citrix Gateway ตั้งแต่ Version 12.1 ก่อนถึง Version 12.1-65.25
Citrix ADC FIPS ตั้งแต่ Version 12.1 ก่อนถึง Version 12.1-55.291
Citrix ADC NDcPP ตั้งแต่ Version 12.1 ก่อนถึง Version 12.1-55.291

โดยจะได้รับผลกระทบก็ต่อเมื่ออุปกรณ์กำหนดค่าเป็น SAML SP ( SAML service provider) หรือ SAML IdP ( SAML identity provider)

ผู้ดูแลระบบสามารถตรวจสอบการกำหนดค่าไฟล์ "ns.

Citrix เปิดตัวฟีเจอร์ป้องกันการโจมตี DDoS บนอุปกรณ์ NetScaler ADC

Citrix เปิดตัวฟีเจอร์ที่ออกแบบมาเพื่อปิดช่องทางการนำอุปกรณ์ไปใช้ทำ Denial-of-service attack (DDoS) amplification attack บนอุปกรณ์ NetScaler ADC ที่เปิดใช้งาน Enlightened Data Transport UDP Protocol (EDT) โดยใช้โปรโตคอล DTLS ในการโจมตี

DTLS เป็นโปรโตคอล Transport Layer Security (TLS) ใน UDP ที่ใช้เพื่อรักษาความปลอดภัยและป้องกันการดักฟังและการปลอมแปลงในแอปและบริการที่มีความล่าช้า

ตามรายงานที่ปรากฏขึ้นตั้งแต่วันที่ 21 ธันวาคม 2020 มีการนำอุปกรณ์ Citrix ไปใช้ในการโจมตีแบบ DDoS amplification attack โดยผู้ประสงค์ร้ายจะใช้โปรโตคอล DTLS ที่อยู่บนอุปกรณ์ที่มีอัตราส่วนการรับและส่งข้อมูลที่สามารถนำมาใช้ในการโจมตีได้ตามหลักการของ Amplification attack ไปทำการโจมตีอุปกรณ์อื่น

จากรายงานการโจมตีดังกล่าว Citrix ได้ทำการปรับปรุงฟีเจอร์ DTLS เพื่อป้องกันการนำไปใช้ในการโจมตี อีกทั้งยังได้เพิ่มการตั้งค่า "HelloVerifyRequest" ซึ่งจะสามารถระบุช่องทางการโจมตีและจะบล็อกความพยายามของผู้โจมตีที่จะทำการโจมตี DDoS ได้ในอนาคต สำหรับอุปกรณ์ที่ได้รับการปรับปรุงฟีเจอร์ใหม่มีรายการดังนี้

Citrix ADC และ Citrix Gateway 13.0-71.44 และรุ่นที่ใหม่กว่า
NetScaler ADC และ NetScaler Gateway 12.1-60.19 และใหม่กว่า
NetScaler ADC และ NetScaler Gateway 11.1-65.16 และใหม่กว่า
ทั้งนี้ผู้ใช้งานอุปกรณ์ Citrix ADC และ NetScaler ADC สามารถทำการอัปเดตฟีเจอร์ได้โดยการดาวน์โหลดได้ที่นี่: citrix

ที่มา: bleepingcomputer

NSA Releases Advisory on Chinese State-Sponsored Actors Exploiting Publicly Known Vulnerabilities

เปิดประเทศก็พอ ไม่ต้องเปิดระบบให้เขาเข้ามา! NSA ออกรายงานช่องโหว่ซึ่งมักถูกใช้โดยกลุ่มแฮกเกอร์จีนในการโจมตีระบบ

NSA ออก Cybersecurity Advisory เมื่อวันอังคารที่ผ่านมาโดยมีเนื้อหาเป็นการรวบรวมและแจ้งเตือนช่องโหว่ซึ่งมักถูกใช้โดยกลุ่มแฮกเกอร์ที่ถูกสนับสนุนโดยรัฐบาลจีนในการโจมตี พร้อมคำแนะนำในการรับมือและความเสี่ยงในการถูกโจมตีด้วย

ช่องโหว่ที่ถูกระบุในรายงานมีทั้งสิ้น 25 ช่องโหว่ โดยมีการระบุถึงช่องโหว่ชื่อดังอย่าง CVE-2019-19781 ใน Citrix ADC ซึ่งถูกใช้ทั้งจากกลุ่มแฮกเกอร์ที่รัฐบาลจีนสนับสนุนและกลุ่มแฮกเกอร์ที่รัฐบาลอิหร่านสนับสนุน แนะนำให้ตรวจสอบรายงานดังกล่าวและดำเนินการตามความเหมาะสมเพื่อลดผลกระทบจากการถูกโจมตีโดยช่องโหว่เหล่านี้

ที่มา : CISA

Citrix ออกเเพตซ์แก้ไขช่องโหว่ 11 รายการในอุปกรณ์ ADC, Gateway และอุปกรณ์ SD-WAN WANOP

Citrix ได้ทำการออกเเพตซ์แก้ไขช่องโหว่ 11 รายการที่พบว่าส่งผลกระทบต่อ Citrix ADC, Citrix Gateway และ Citrix SD-WAN WANOP (อุปกรณ์รุ่น 4000-WO, 4100-WO, 5000-WO และ 5100-WO) ซึ่งแพตซ์การเเก้ไขนี้ไม่เกี่ยวข้อกับช่องโหว่การโจมตีจากระยะไกล CVE-2019-19781 ที่ได้ออกเเพตซ์ความปลอดภัยไปแล้วในเดือนมกราคม 2020 และช่องโหว่เหล่านี้ไม่มีผลต่ออุปกรณ์ Citrix เวอร์ชั่นคลาวด์

โดยช่องโหว่ที่ได้รับการเเก้ไขมีรายละเอียดที่สำคัญมีดังนี้

ช่องโหว่ CVE-2019-18177 โดยช่องโหว่เป็นประเภท Information disclosure โดยช่องโหว่ทำให้ผู้โจมตีที่ผ่านการตรวจสอบสิทธิ์ผ่าน VPN User สามารถดูข้อมูลการตั้งค่าได้ ส่วนช่องโหว่ CVE-2020-8195 และ CVE-2020-8196 เป็นช่องโหว่การเปิดเผยข้อมูลเช่นกัน โดยช่องโหว่จะทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธ์จาก NSIP สามารถดูข้อมูลการตั้งค่าได้
ช่องโหว่ CVE-2020-8187 เป็นช่องโหว่ที่ทำให้ผู้โจมตีจากระยะไกลที่ไม่ได้ทำการตรวจสอบสิทธิ์สามารถทำการ Denial of Service (DoS) ระบบได้ ช่องโหว่นี้จะมีผลกับ Citrix ADC และ Citrix Gateway 12.0 และ 11.1 เท่านั้น
ช่องโหว่ CVE-2020-8190 เป็นช่องโหว่ประเภทการยกระดับสิทธ์ ซึ่งช่องโหว่จะทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธ์จาก NSIP ทำการยกระดับสิทธิ์ได้ ส่วน CVE-2020-8199 ซึ่งเป็นเป็นช่องโหว่ประเภทการยกระดับสิทธ์เช่นกัน โดยช่องโหว่จะมีผลกระทบต่อปลั๊กอิน Citrix Gateway สำหรับ Linux ทำให้ผู้โจมตีสามารถยกระดับสิทธ์ภายใน Citrix Gateway สำหรับ Linux ได้
ช่องโหว่ CVE-2020-8191 และ CVE-2020-8198 เป็นช่องโหว่ Cross Site Scripting (XSS) ทำให้ผู้โจมตีจากระยะไกลสามารถทำการ XSS โดยการหลอกล่อให้เหยื่อทำการเปิดลิงก์ที่ควบคุมโดยผู้โจมตีในเบราว์เซอร์เพื่อทำการโจมตีผู้ใช้
ช่องโหว่ CVE-2020-8193 เป็นช่องโหว่การ Bypass การตรวจสอบสิทธ์ โดยเงื่อนไขคือผู้โจมตีต้องสามารถเข้าถึง NSIP ได้ก่อนจึงจะสามารถใช้ประโยชน์จากช่องโหว่ได้
ช่องโหว่ CVE-2020-8194 เป็นช่องโหว่ Code injection โดยเงื่อนไขของคือผู้ใช้ต้องดาวน์โหลดและดำเนินการไบนารี่ที่เป็นอันตรายจาก NSIP ก่อนจึงจะทำให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ได้

Citrix ได้แนะนำให้ผู้ใช้งานหรือผู้ดูแลระบบทำการอัพเดตเเพซต์การแก้ไขและติดตั้งให้เป็นเวอร์ชั่นใหม่ล่าสุดเพื่อป้องกันผู้ไม่หวังดีทำการใช้ประโยชน์จากช่องโหว่ดังกล่าว

ที่มา: citrix.