Các lỗ hổng nghiêm trọng trong nhiều máy chủ Citrix vẫn chưa được vá

[WhiteHat Team]

Hàng nghìn Bộ điều khiển phân phối ứng dụng Citrix Application Delivery Controller - ADC) và Gateway endpoint vẫn đang chịu ảnh hưởng bởi 2 lỗ hổng nghiêm trọng dù đã được hãng giải quyết trước đó.

• CVE-2022-27510 (điểm CVSS 9,8) là lỗi bỏ qua xác thực, có thể bị khai thác để chiếm quyền truy cập trái phép vào Gateway.
• CVE-2022-27518 (điểm CVSS 9,8) là lỗi thực thi mã từ xa có thể cho phép chiếm quyền kiểm soát các hệ thống bị ảnh hưởng.

Đầu tháng 12, Citrix và Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) đã cảnh báo CVE-2022-27518 đang bị kẻ xấu khai thác trong thực tế, trong đó có nhóm APT5 có thể do Trung Quốc bảo trợ.

Các nhà nghiên cứu Fox-IT cho biết hàng nghìn máy chủ Citrix đang hiện diện trên Internet vẫn chưa được vá, khiến chúng trở thành mục tiêu hấp dẫn của tin tặc.

Cụ thể, hơn 3.500 máy chủ Citrix ADC và Gateway chạy phiên bản 12.1-65.21 bị ảnh hưởng bởi CVE-2022-27518. Hơn 500 máy chủ chạy phiên bản 12.1-63.22 bị ảnh hưởng bởi cả hai lỗ hổng. Khoảng 5.000 máy chủ đang chạy phiên bản 13.0-88.14 vẫn nằm trong “vùng an toàn”.

Ngoài ra, theo một thống kê hơn 40% máy chủ tại Đan Mạch, Hà Lan, Áo, Đức, Pháp, Singapore, Úc, Anh và Hoa Kỳ đã được cập nhật. Riêng Trung Quốc chỉ ghi nhận 20% trong số gần 550 máy chủ đã cập nhật bản vá.

Fox-IT cho biết họ có thể dò ra thông tin phiên bản từ giá trị băm giống MD5 có trong phản hồi HTTP của URL đăng nhập ("ns_gui/vpn/index.html") và tìm phiên bản tương ứng.

Theo The Hacker News​