Citrix แจ้งเตือนให้ผู้ใช้งาน Citrix ADC และ Citrix Gateway รีบอัปเดตเพื่อแก้ไขช่องโหว่ Zero-day ระดับความรุนแรงสูง ซึ่งมีคะแนน CVSS v3 สูงถึง 9.8 (CVE-2022-27518) โดยเร่งด่วน เนื่องจากพบว่าช่องโหว่ดังกล่าวกำลังถูกนำมาใช้โจมตีโดยกลุ่ม Hacker APT5 ที่คาดว่าเป็นกลุ่มที่ได้รับการสนับสนุนจากรัฐบาล (State-Sponsored Hackers)

APT5 หรือที่รู้จักกันในชื่อ UNC2630 และ MANGANESE เป็นกลุ่ม Hacker ที่ได้รับการสนับสนุนจากรัฐบาลจีน (State-Sponsored Hackers) โดยผู้โจมตีมักจะใช้ช่องโหว่ Zero-Days จากอุปกรณ์ VPN ในการโจมตีเพื่อเข้าถึงระบบของเหยื่อ และขโมยข้อมูลที่มีความสำคัญออกไป เช่น ในปี 2021 พบการโจมตีของกลุ่ม APT5 ที่ใช้ช่องโหว่ Zero-day ในอุปกรณ์ Pulse Secure VPN เพื่อเจาะระบบเครือข่ายของ US Defense Industrial Base (DIB)

การโจมตี

ช่องโหว่ CVE-2022-27518 ทำให้ Hacker สามารถสั่งรันโค้ดที่เป็นอันตรายการจากระยะไกลได้ (Remote code execution) บนอุปกรณ์ Citrix ADC และ Citrix Gateway ที่มีช่องโหว่ และเข้าควบคุมเครื่องได้ ซึ่งขณะนี้ทาง Citrix ยังไม่ได้เปิดเผยรายละเอียดเกี่ยวกับขั้นตอนในการโจมตี

โดยในปี 2019 อุปกรณ์ Citrix ADC และ Citrix Gateway ก็มีช่องโหว่ Remote code execution หมายเลข CVE-2019-19781 ลักษณะคล้ายกันนี้ ซึ่งส่งผลให้เกิดการโจมตีอุปกรณ์ Citrix ADC และ Citrix Gateway ที่มีช่องโหว่เป็นวงกว้าง

ขณะนี้ทางสำนักงานความมั่นคงแห่งชาติสหรัฐ NSA (National Security Agency) ได้ออกเอกสาร "APT5: Citrix ADC Threat Hunting Guidance" ซึ่งเป็นวิธีการตรวจสอบการโจมตีอุปกรณ์ Citrix ADC และ Citrix Gateway ที่มีช่องโหว่ และวิธีการป้องกัน

Version ที่ได้รับผลกระทบ

ช่องโหว่ CVE-2022-27518 ส่งผลกระทบต่อ Citrix ADC และ Citrix Gateway Version ดังต่อไปนี้ :

Citrix ADC และ Citrix Gateway ตั้งแต่ Version13.0 ก่อนถึง Version 13.0-58.32
Citrix ADC และ Citrix Gateway ตั้งแต่ Version 12.1 ก่อนถึง Version 12.1-65.25
Citrix ADC FIPS ตั้งแต่ Version 12.1 ก่อนถึง Version 12.1-55.291
Citrix ADC NDcPP ตั้งแต่ Version 12.1 ก่อนถึง Version 12.1-55.291

โดยจะได้รับผลกระทบก็ต่อเมื่ออุปกรณ์กำหนดค่าเป็น SAML SP ( SAML service provider) หรือ SAML IdP ( SAML identity provider)

ผู้ดูแลระบบสามารถตรวจสอบการกำหนดค่าไฟล์ "ns.

Citrix เปิดตัวฟีเจอร์ที่ออกแบบมาเพื่อปิดช่องทางการนำอุปกรณ์ไปใช้ทำ Denial-of-service attack (DDoS) amplification attack บนอุปกรณ์ NetScaler ADC ที่เปิดใช้งาน Enlightened Data Transport UDP Protocol (EDT) โดยใช้โปรโตคอล DTLS ในการโจมตี

DTLS เป็นโปรโตคอล Transport Layer Security (TLS) ใน UDP ที่ใช้เพื่อรักษาความปลอดภัยและป้องกันการดักฟังและการปลอมแปลงในแอปและบริการที่มีความล่าช้า

ตามรายงานที่ปรากฏขึ้นตั้งแต่วันที่ 21 ธันวาคม 2020 มีการนำอุปกรณ์ Citrix ไปใช้ในการโจมตีแบบ DDoS amplification attack โดยผู้ประสงค์ร้ายจะใช้โปรโตคอล DTLS ที่อยู่บนอุปกรณ์ที่มีอัตราส่วนการรับและส่งข้อมูลที่สามารถนำมาใช้ในการโจมตีได้ตามหลักการของ Amplification attack ไปทำการโจมตีอุปกรณ์อื่น

จากรายงานการโจมตีดังกล่าว Citrix ได้ทำการปรับปรุงฟีเจอร์ DTLS เพื่อป้องกันการนำไปใช้ในการโจมตี อีกทั้งยังได้เพิ่มการตั้งค่า "HelloVerifyRequest" ซึ่งจะสามารถระบุช่องทางการโจมตีและจะบล็อกความพยายามของผู้โจมตีที่จะทำการโจมตี DDoS ได้ในอนาคต สำหรับอุปกรณ์ที่ได้รับการปรับปรุงฟีเจอร์ใหม่มีรายการดังนี้

Citrix ADC และ Citrix Gateway 13.0-71.44 และรุ่นที่ใหม่กว่า
NetScaler ADC และ NetScaler Gateway 12.1-60.19 และใหม่กว่า
NetScaler ADC และ NetScaler Gateway 11.1-65.16 และใหม่กว่า
ทั้งนี้ผู้ใช้งานอุปกรณ์ Citrix ADC และ NetScaler ADC สามารถทำการอัปเดตฟีเจอร์ได้โดยการดาวน์โหลดได้ที่นี่: citrix

ที่มา: bleepingcomputer

Citrix ได้ทำการออกเเพตซ์แก้ไขช่องโหว่ 11 รายการที่พบว่าส่งผลกระทบต่อ Citrix ADC, Citrix Gateway และ Citrix SD-WAN WANOP (อุปกรณ์รุ่น 4000-WO, 4100-WO, 5000-WO และ 5100-WO) ซึ่งแพตซ์การเเก้ไขนี้ไม่เกี่ยวข้อกับช่องโหว่การโจมตีจากระยะไกล CVE-2019-19781 ที่ได้ออกเเพตซ์ความปลอดภัยไปแล้วในเดือนมกราคม 2020 และช่องโหว่เหล่านี้ไม่มีผลต่ออุปกรณ์ Citrix เวอร์ชั่นคลาวด์

โดยช่องโหว่ที่ได้รับการเเก้ไขมีรายละเอียดที่สำคัญมีดังนี้

ช่องโหว่ CVE-2019-18177 โดยช่องโหว่เป็นประเภท Information disclosure โดยช่องโหว่ทำให้ผู้โจมตีที่ผ่านการตรวจสอบสิทธิ์ผ่าน VPN User สามารถดูข้อมูลการตั้งค่าได้ ส่วนช่องโหว่ CVE-2020-8195 และ CVE-2020-8196 เป็นช่องโหว่การเปิดเผยข้อมูลเช่นกัน โดยช่องโหว่จะทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธ์จาก NSIP สามารถดูข้อมูลการตั้งค่าได้
ช่องโหว่ CVE-2020-8187 เป็นช่องโหว่ที่ทำให้ผู้โจมตีจากระยะไกลที่ไม่ได้ทำการตรวจสอบสิทธิ์สามารถทำการ Denial of Service (DoS) ระบบได้ ช่องโหว่นี้จะมีผลกับ Citrix ADC และ Citrix Gateway 12.0 และ 11.1 เท่านั้น
ช่องโหว่ CVE-2020-8190 เป็นช่องโหว่ประเภทการยกระดับสิทธ์ ซึ่งช่องโหว่จะทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธ์จาก NSIP ทำการยกระดับสิทธิ์ได้ ส่วน CVE-2020-8199 ซึ่งเป็นเป็นช่องโหว่ประเภทการยกระดับสิทธ์เช่นกัน โดยช่องโหว่จะมีผลกระทบต่อปลั๊กอิน Citrix Gateway สำหรับ Linux ทำให้ผู้โจมตีสามารถยกระดับสิทธ์ภายใน Citrix Gateway สำหรับ Linux ได้
ช่องโหว่ CVE-2020-8191 และ CVE-2020-8198 เป็นช่องโหว่ Cross Site Scripting (XSS) ทำให้ผู้โจมตีจากระยะไกลสามารถทำการ XSS โดยการหลอกล่อให้เหยื่อทำการเปิดลิงก์ที่ควบคุมโดยผู้โจมตีในเบราว์เซอร์เพื่อทำการโจมตีผู้ใช้
ช่องโหว่ CVE-2020-8193 เป็นช่องโหว่การ Bypass การตรวจสอบสิทธ์ โดยเงื่อนไขคือผู้โจมตีต้องสามารถเข้าถึง NSIP ได้ก่อนจึงจะสามารถใช้ประโยชน์จากช่องโหว่ได้
ช่องโหว่ CVE-2020-8194 เป็นช่องโหว่ Code injection โดยเงื่อนไขของคือผู้ใช้ต้องดาวน์โหลดและดำเนินการไบนารี่ที่เป็นอันตรายจาก NSIP ก่อนจึงจะทำให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ได้

Citrix ได้แนะนำให้ผู้ใช้งานหรือผู้ดูแลระบบทำการอัพเดตเเพซต์การแก้ไขและติดตั้งให้เป็นเวอร์ชั่นใหม่ล่าสุดเพื่อป้องกันผู้ไม่หวังดีทำการใช้ประโยชน์จากช่องโหว่ดังกล่าว

ที่มา: citrix.