الفئة: ذكاء نقاط الضعففئة نقاط الضعف الأمنية: تنفيذ التعليمات البرمجية عن بُعدغطاء الكهف: CVE-2022-27518السيرة الذاتية: 3.0 النتيجة: 9.8

ملخص تنفيذي

تهديدتأثيرتخفيف

• ثغرة RCE الحرجة التي تؤثر على Citrix ADC وبوابة Citrix.
• تمت ملاحظة APT 5 وهي تستغل هذه الثغرة الأمنية في البرية وفقًا لـ Citrix و NSA.
• كانت الجهات الفاعلة في مجال التهديد في منتديات الجرائم الإلكترونية تتطلع إلى شراء الثغرات الأمنية لتنفيذ التعليمات البرمجية بشكل تعسفي.

يمكن للجهات الفاعلة في مجال التهديد استغلال نقاط الضعف

• احصل على وصول أولي
• الكشف عن المعلومات الحساسة
• تنفيذ هجمات DDoS
• قم بتشفير البنية التحتية باستخدام البرامج الضارة
• احصل على الامتيازات وقم بتنفيذ التعليمات البرمجية التعسفية عن بُعد

التحديث إلى أحدث الإصدارات:

• سيتريكسس إيه دي سي وسيتريكس-جيتواي 13.0-58.32 والإصدارات الأحدث من 13.0
• سيتريx ADC و بوابة سيتريx 12.1-65.25 والإصدارات اللاحقة من 12.1
• سيتريx ADC 12.1-FIPS 12.1-55.291 والإصدارات اللاحقة من 12.1-FIPS
• سيتريكسس ADC 12.1-NDCPP 12.1-55.291 والإصدارات اللاحقة من 12.1-NDCPP

التحليل

تُعد CVE-2022-27518 ثغرة خطيرة وعالية الخطورة، حيث تبلغ درجة CVSS:3.0 9.8، وتؤثر على Citrix ADC وبوابة Citrix التي تم الكشف عنها في 13 ديسمبر 2022 بواسطة Citrix. يسمح للمهاجم البعيد غير المصادق بتنفيذ تعليمات برمجية عشوائية على جهاز ضعيف. سيتريكس و وكالة الأمن القومي ذكروا أنهم لاحظوا محاولات الاستغلال في البرية، والتي نُسبت إلى APT 5. كما أظهر العديد من مجرمي الإنترنت الآخرين اهتمامًا بشراء الثغرات الأمنية. حتى الآن، لا يوجد استغلال متاح للجمهور. ومع ذلك، من المتوقع أن يتغير هذا السيناريو بمجرد إنشاء استغلال قابل للتطبيق ومشاركته علنًا. [معرف التسمية التوضيحية = «المرفق _22046" aligncenter «العرض ="1243"] محادثة حول منتدى الجرائم الإلكترونية [/caption]

المنتجات المتأثرة

يسرد الجدول التالي منتجات Citrix وإصداراتها المتأثرة بهذه الثغرة الأمنية. رقم.اسم المنتجالإصدارات المتأثرةإصدارات محدثة1. سيتريكسس إيه دي سي وسيتريكسس غايتواي 13.0 قبل 13.0-58.3213.0-58.32 والإصدارات اللاحقة من 13.02. سيتريكسس إيه دي سي وسيتريكسس غيتواي 12.1 قبل 12.1-65.2512.1-65.25 والإصدارات اللاحقة من 12.13 سيتريكسس إيه دي سي 12.1 - فيبس قبل 12.1-55.29112.1-55.291 والإصدارات اللاحقة من 12.1-فيبس 4. سيتريX ADC 12.1-NDCP قبل 12.1-55.29112.1-55.55.291 291 والإصدارات اللاحقة من 12.1-ndCPP

الشروط المسبقة

• يجب تكوين بوابة Citrix ADC أو بوابة Citrix باعتبارها SAML SP أو SAML IDP
• للتحقق من تكوين Citrix ADC أو Citrix Gateway على النحو الوارد أعلاه، افحص ملف ns.conf عن طريق تشغيل الأمر التالي:
  • SAML SP [إضافة المصادقة SamlAction]
  • SAML iDP [إضافة مصادقة إلى ملف تعريف SamLidp]

معلومات من OSINT

أصدرت وكالة الأمن القومي استشاري تحذير بشأن ثغرة خطيرة [CVE-2022-27518] تؤثر على سيتريx ADC وبوابة Citrix. وفقًا لوكالة الأمن القومي وسيتريكسس، APT5 - تستغل جهة التهديد المدعومة من الدولة الصينية والمعروفة باستهداف شركات الاتصالات والتكنولوجيا بنشاط هذه الثغرة الأمنية. تشير عمليات بحث Shodan إلى أن Citrix Gateway يستخدم من قبل عدد كبير من المنظمات في جميع أنحاء العالم. [معرف التسمية التوضيحية = «المرفق _22047" align= «alignnone» width="1267"] لقطة شاشة لنتائج بحث Shodan [/caption]

مؤشرات التسوية (IOCs)

استنادًا إلى نتائج VirusTotal، فيما يلي العناصر المكونة من IOC لـ APT5. تجزئاتed0c77 d57643 f07 a19430c 5671a21c0c77 c7439 ac2c91287 f141 c6 fe 41 d4a074 c472406e385f769 fbaa 769 fbaa 72c7259247 f42 ef1b 9140 f31228 afc 66 afc670 f5b 183 bbf24 a075450 be4d603de2 a02d7cc0e2eef9942c540ae1503b0c38b1dأسماءvti-rescanx.exemg.exenetmgr.exeاسم المضيفtsl.gettrials.com

المراجع

• ^#بروتوكول إشارات المرور - ويكيبيديا
• نظرة عامة على APT5
• تحديث سيتريز على CVE-2022-27518
• تحذير من وكالة الأمن القومي لـ CVE-2022-27518

الملحق

[معرف التسمية التوضيحية = «المرفق _22048" align= «alignnone» width="925"] تحذير من وكالة الأمن القومي لـ CVE-2022-27518 [/caption] [معرف التسمية التوضيحية = «المرفق _22049" align= «alignnone» width="621"] نشرت وكالة الأمن القومي توقيعات Yara لاكتشاف البرامج الضارة التي تستخدمها APT5 [/caption]