Эксперты из Fox-IT NCC Group предупреждают, что тысячи установок Citrix Application Delivery Controller (NetScaler ADC) и Citrix Gateway (NetScaler Gateway) по-прежнему уязвимы из-за двух серьезных багов, которые разработчики устранили в последние месяцы.
Первая уязвимость, CVE-2022-27510, была исправлена 8 ноября 2022. Это баг представляет собой обход аутентификации, затрагивающий оба вышеупомянутых продукта Citrix. Злоумышленники могут использовать его для получения неавторизованного доступа к устройству, полного захвата удаленного рабочего стола или обхода защиты от бруфорс атак.
Вторая уязвимость, CVE-2022-27518 (9,8 балла по шкале оценки уязвимостей CVSS), была исправлена 13 декабря 2022 года. Она позволяет неаутентифицированным злоумышленникам удаленно выполнять команды на уязвимых устройствах и получать полный контроль над ними. При этом разработчики Citrix и специалисты АНБ уже предупреждали, что проблема активно используется хакерами, в том числе из китайской «правительственной» группировки APT5.
Аналитики Fox-IT NCC Group просканировали сеть в поисках серверов Citrix и пришли к выводу, что по состоянию на 28 декабря 2022 года тысячи из них по-прежнему не получили патчей, что делает их привлекательной мишенью для хакерских групп.
Как видно на иллюстрации ниже, большинство машин использует версию 13.0–88.14, на которую вышеописанные уязвимость не влияют. Однако второй по популярности версией является 12.1-65.21, уязвимая перед проблемой CVE-2022-27518. Ее используют 3500 конечных точек. Кроме того, было обнаружено более 500 серверов с версиями 12.1-63.22, уязвимыми для обеих обозначенных уязвимостей.
К счастью, аналитики отмечают, что для эксплуатации CVE-2022-27518 нужно соблюсти ряд условий. Так, серверы должны использовать SAML SP или IdP. А это означает, что не все из 3500 обнаруженных систем будут уязвимы для атак злоумышленников.
Исследователи говорят, что более 40% серверов, расположенных в Дании, Нидерландах, Австрии, Германии, Франции, Сингапуре, Австралии, Великобритании и США, были обновлены. Хуже всего дела с патчами обстоят в Китае, где исправления получили только 20% из почти 550 серверов.