美国国家安全局警告说,中国政府支持的黑客正在利用两种广泛使用的 Citrix 网络产品中的零日漏洞来访问目标网络。
该缺陷被跟踪为CVE-2022-27518 ,影响应用程序交付控制器 Citrix ADC 和远程访问工具 Citrix Gateway,并且在企业网络中都很流行。该严重漏洞允许未经身份验证的攻击者在易受攻击的设备上远程运行恶意代码——无需密码。 Citrix还表示,该漏洞正被威胁行为者积极利用。
Citrix 首席安全和信任官 Peter Lefkowitz 在一篇博文中表示:“我们知道有少量利用此漏洞的针对性攻击。” “已报告了对该漏洞的有限利用。” Citrix 没有具体说明目标组织属于哪些行业,或者有多少组织受到了损害。 Citrix 发言人没有立即回应 TechCrunch 的问题。
Citrix 周一针对该漏洞紧急发布了补丁,并敦促使用受影响的 Citrix ADC 和 Citrix Gateway 版本的客户立即安装更新。
Citrix 没有分享有关野外攻击的任何进一步细节。然而,在另一份通报中,美国国家安全局表示,臭名昭著的中国黑客组织 APT5 一直在积极瞄准 Citrix ADC,以便在无需先窃取凭据的情况下闯入组织。该机构还为安全团队提供了威胁追踪指南[PDF],并要求在公共和私营部门之间共享情报。
APT5 至少自 2007 年以来一直活跃,主要从事网络间谍活动,并且有针对技术公司(包括那些构建军事应用程序的公司)和区域电信提供商的历史。网络安全公司 FireEye 此前将 APT5 描述为“一个由多个子组组成的大型威胁组,通常具有不同的策略和基础设施。”
去年,APT5 利用Pulse Secure VPN (另一种经常成为黑客攻击目标的网络产品)中的零日漏洞来破坏参与国防研发的美国网络。