به گزارش اپ خونه، آژانس امنیت ملی ایالات متحده هشدار می دهد که هکرهای تحت حمایت دولت چین از یک آسیب پذیری روز صفر در دو محصول شبکه سیتریکس که به طور گسترده استفاده می شود برای دسترسی به شبکه های هدف سوء استفاده می کنند.
این نقص که بهعنوان CVE-2022-27518 دنبال میشود، Citrix ADC، یک کنترلکننده تحویل برنامه، و Citrix Gateway، یک ابزار دسترسی از راه دور را تحت تأثیر قرار میدهد و هر دو در شبکههای سازمانی محبوب هستند.
این آسیبپذیری با رتبهبندی بحرانی به یک مهاجم تأیید نشده اجازه میدهد تا از راه دور کدهای مخرب را روی دستگاههای آسیبپذیر اجرا کند – بدون نیاز به رمز عبور. سیتریکس همچنین می گوید این نقص به طور فعال توسط عوامل تهدید مورد سوء استفاده قرار می گیرد.
پیتر لفکوویتز، افسر ارشد امنیت و اعتماد در Citrix در یک پست وبلاگی گفت: “ما از تعداد کمی از حملات هدفمند در طبیعت با استفاده از این آسیب پذیری آگاه هستیم.” سوء استفاده های محدودی از این آسیب پذیری گزارش شده است.
سیتریکس مشخص نکرده است که سازمان های مورد نظر در کدام صنایع هستند یا چه تعداد در معرض خطر قرار گرفته اند. سخنگوی Citrix هنوز اظهار نظری نکرده است.
سیتریکس روز دوشنبه یک پچ اضطراری برای این آسیبپذیری منتشر کرد و از مشتریانی که از ساختهای آسیبدیده Citrix ADC و Citrix Gateway استفاده میکنند میخواهد فوراً بهروزرسانیها را نصب کنند.
سیتریکس جزئیات بیشتری در مورد حملات درون وحشی به اشتراک نگذاشت. با این حال، در یک مشاوره جداگانه، NSA اعلام کرد که APT5، یک گروه هکری بدنام چینی، به طور فعال سیتریکس ADC ها را هدف قرار داده است تا بدون نیاز به سرقت اطلاعات اولیه، به سازمان ها نفوذ کند.
آژانس همچنین برای تیمهای امنیتی راهنماییهای شکار تهدید [PDF] ارائه کرد و از بخشهای عمومی و خصوصی درخواست کرد اطلاعات به اشتراک گذاشته شود.
APT5 که حداقل از سال ۲۰۰۷ فعال بوده است، عمدتاً کمپینهای جاسوسی سایبری را انجام میدهد و سابقه هدف قرار دادن شرکتهای فناوری، از جمله آنهایی که برنامههای کاربردی نظامی میسازند، و ارائهدهندگان مخابرات منطقهای را دارد.
شرکت امنیت سایبری FireEye قبلا APT5 را به عنوان “گروه تهدید بزرگی که از چندین زیر گروه تشکیل شده است، اغلب با تاکتیک ها و زیرساخت های متمایز” توصیف کرده است.
سال گذشته، APT5 از یک آسیبپذیری روز صفر در Pulse Secure VPN – محصول شبکه دیگری که اغلب توسط هکرها هدف قرار میگیرد – برای نفوذ به شبکههای ایالات متحده درگیر در تحقیق و توسعه دفاعی سوء استفاده کرد.
