Citrix แจ้งเตือนให้ผู้ใช้งาน Citrix ADC และ Citrix Gateway รีบอัปเดตเพื่อแก้ไขช่องโหว่ Zero-day ระดับความรุนแรงสูง ซึ่งมีคะแนน CVSS v3 สูงถึง 9.8 (CVE-2022-27518) โดยเร่งด่วน เนื่องจากพบว่าช่องโหว่ดังกล่าวกำลังถูกนำมาใช้โจมตีโดยกลุ่ม Hacker APT5 ที่คาดว่าเป็นกลุ่มที่ได้รับการสนับสนุนจากรัฐบาล (State-Sponsored Hackers)
APT5 หรือที่รู้จักกันในชื่อ UNC2630 และ MANGANESE เป็นกลุ่ม Hacker ที่ได้รับการสนับสนุนจากรัฐบาลจีน (State-Sponsored Hackers) โดยผู้โจมตีมักจะใช้ช่องโหว่ Zero-Days จากอุปกรณ์ VPN ในการโจมตีเพื่อเข้าถึงระบบของเหยื่อ และขโมยข้อมูลที่มีความสำคัญออกไป เช่น ในปี 2021 พบการโจมตีของกลุ่ม APT5 ที่ใช้ช่องโหว่ Zero-day ในอุปกรณ์ Pulse Secure VPN เพื่อเจาะระบบเครือข่ายของ US Defense Industrial Base (DIB)
การโจมตี
ช่องโหว่ CVE-2022-27518 ทำให้ Hacker สามารถสั่งรันโค้ดที่เป็นอันตรายการจากระยะไกลได้ (Remote code execution) บนอุปกรณ์ Citrix ADC และ Citrix Gateway ที่มีช่องโหว่ และเข้าควบคุมเครื่องได้ ซึ่งขณะนี้ทาง Citrix ยังไม่ได้เปิดเผยรายละเอียดเกี่ยวกับขั้นตอนในการโจมตี
โดยในปี 2019 อุปกรณ์ Citrix ADC และ Citrix Gateway ก็มีช่องโหว่ Remote code execution หมายเลข CVE-2019-19781 ลักษณะคล้ายกันนี้ ซึ่งส่งผลให้เกิดการโจมตีอุปกรณ์ Citrix ADC และ Citrix Gateway ที่มีช่องโหว่เป็นวงกว้าง
ขณะนี้ทางสำนักงานความมั่นคงแห่งชาติสหรัฐ NSA (National Security Agency) ได้ออกเอกสาร "APT5: Citrix ADC Threat Hunting Guidance" ซึ่งเป็นวิธีการตรวจสอบการโจมตีอุปกรณ์ Citrix ADC และ Citrix Gateway ที่มีช่องโหว่ และวิธีการป้องกัน
Version ที่ได้รับผลกระทบ
ช่องโหว่ CVE-2022-27518 ส่งผลกระทบต่อ Citrix ADC และ Citrix Gateway Version ดังต่อไปนี้ :
Citrix ADC และ Citrix Gateway ตั้งแต่ Version13.0 ก่อนถึง Version 13.0-58.32
Citrix ADC และ Citrix Gateway ตั้งแต่ Version 12.1 ก่อนถึง Version 12.1-65.25
Citrix ADC FIPS ตั้งแต่ Version 12.1 ก่อนถึง Version 12.1-55.291
Citrix ADC NDcPP ตั้งแต่ Version 12.1 ก่อนถึง Version 12.1-55.291
โดยจะได้รับผลกระทบก็ต่อเมื่ออุปกรณ์กำหนดค่าเป็น SAML SP ( SAML service provider) หรือ SAML IdP ( SAML identity provider)
ผู้ดูแลระบบสามารถตรวจสอบการกำหนดค่าไฟล์ "ns.