La Agencia de Seguridad Nacional de Estados Unidos (NSA) advierte de que hackers respaldados por el Gobierno chino están explotando una vulnerabilidad de dÃa cero en dos productos de red de Citrix muy utilizados para acceder a redes de destino.
El fallo, rastreado como CVE-2022-27518, afecta a Citrix ADC, un controlador de entrega de aplicaciones y a Citrix Gateway, una herramienta de acceso remoto y ambos son populares en las redes empresariales. La vulnerabilidad, clasificada como crÃtica, permite a un atacante no autenticado ejecutar remotamente código malicioso en dispositivos vulnerables, sin necesidad de contraseñas. Citrix también afirma que el fallo está siendo explotado activamente por agentes de amenazas.
Peter Lefkowitz, director de seguridad y confianza de Citrix, dice en una entrada de blog que "somos conscientes de un pequeño número de ataques dirigidos utilizando esta vulnerabilidad." "Se ha informado de exploits limitados de esta vulnerabilidad". Citrix no ha especificado a qué industrias pertenecen las organizaciones atacadas ni cuántas se han visto comprometidas.
Citrix publicó un parche de emergencia para la vulnerabilidad el lunes e insta a los clientes que utilizan versiones afectadas de Citrix ADC y Citrix Gateway a instalar las actualizaciones de inmediato.
Citrix no proporcionó más detalles sobre los ataques. Sin embargo, en un aviso separado, la NSA dijo que APT5, un conocido grupo de hackers chinos, ha estado atacando activamente los ADC de Citrix con el fin de entrar en las organizaciones sin tener que robar primero las credenciales. La agencia también proporcionó una guÃa de caza de amenazas -PDF- para los equipos de seguridad e hizo un llamado para compartir inteligencia entre los sectores público y privado.
APT5, que lleva activa al menos desde 2007, lleva a cabo en gran medida campañas de ciberespionaje y tiene un historial de ataques contra empresas tecnológicas, incluidas las que crean aplicaciones militares y proveedores regionales de telecomunicaciones. La empresa de ciberseguridad FireEye ha descrito anteriormente a APT5 como "un gran grupo de amenazas formado por varios subgrupos, a menudo con tácticas e infraestructuras distintas".
El año pasado, APT5 explotó una vulnerabilidad de dÃa cero en Pulse Secure VPN (otro producto de red a menudo objetivo de los hackers) para violar las redes estadounidenses involucradas en la investigación y el desarrollo de defensa.