L’Agenzia per la sicurezza nazionale degli Stati Uniti avverte che gli hacker sostenuti dal governo cinese stanno sfruttando una vulnerabilità zero-day in due prodotti di rete Citrix ampiamente utilizzati per ottenere l’accesso a reti mirate. La falla, classificata come CVE-2022-27518, colpisce Citrix ADC, un application delivery controller, e Citrix Gateway, uno strumento di accesso remoto, entrambi molto diffusi nelle reti aziendali. La vulnerabilità, classificata come critica, consente a un aggressore non autenticato di eseguire in remoto codice dannoso sui dispositivi vulnerabili, senza bisogno di password. Citrix afferma inoltre che la falla viene attivamente sfruttata dagli attori delle minacce.
“Siamo a conoscenza di un piccolo numero di attacchi mirati che utilizzano questa vulnerabilità”, ha dichiarato Peter Lefkowitz, Chief Security and Trust Officer di Citrix, in un post sul blog. “Sono stati segnalati exploit limitati di questa vulnerabilità”. Citrix non ha specificato quali siano i settori in cui operano le organizzazioni prese di mira né quanti siano stati compromessi. Un portavoce di Citrix non ha risposto immediatamente alle domande di TechCrunch. Citrix ha distribuito in fretta e furia una patch di emergenza per la vulnerabilità lunedì e invita i clienti che utilizzano le build interessate di Citrix ADC e Citrix Gateway a installare immediatamente gli aggiornamenti.
Citrix non ha condiviso ulteriori dettagli sugli attacchi in-the-wild. Tuttavia, in un avviso separato, l’NSA ha dichiarato che APT5, un noto gruppo di hacker cinesi, ha preso attivamente di mira i Citrix ADC per introdursi nelle organizzazioni senza dover prima rubare le credenziali. L’agenzia ha inoltre fornito una guida alla caccia alle minacce per i team di sicurezza e ha chiesto la condivisione delle informazioni tra i settori pubblico e privato. L’APT5, attivo almeno dal 2007, conduce in gran parte campagne di spionaggio informatico e ha una storia di attacchi alle aziende tecnologiche, comprese quelle che costruiscono applicazioni militari, e ai fornitori di telecomunicazioni regionali. La società di sicurezza informatica FireEye ha precedentemente descritto l’APT5 come “un grande gruppo di minacce che consiste in diversi sottogruppi, spesso con tattiche e infrastrutture distinte”.
