Hackers Chineses tem como alvo Citrix e Fortinet Zero-days

Exploração do dia zero Citrix

A NSA lançou um aviso sobre a exploração selvagem da vulnerabilidade ( CVE-2022-27518 ) que afeta o Citrix Application Delivery Controller (ADC) e o Citrix Gateway. Atribuiu a atividade ao grupo APT5.

• A Citrix confirmou a exploração dessa vulnerabilidade em dispositivos não mitigados em estado selvagem e lançou um patch de emergência para corrigir a vulnerabilidade.
• O comunicado da NSA efetivamente bloqueou uma aparente operação de inteligência chinesa, expondo seus TTPs. Além disso, está aconselhando as vítimas em potencial sobre como evitar novos ataques.
• Os especialistas descobriram que menos de um por cento dos ambientes corporativos em nuvem são vulneráveis ​​a essa vulnerabilidade.

Uma visão geral do APT5

O APT5, também conhecido como UNC2630 e Manganês, é conhecido por atingir empresas de telecomunicações e tecnologia. Ele já explorou vulnerabilidades nos servidores Fortinet e Pulse Secure VPN. Historicamente, lançou campanhas no Sudeste Asiático, Europa e Estados Unidos

Exploração do bug da Fortinet

Outro grupo de ameaças chinês foi observado abusando de outra vulnerabilidade de execução remota de código, mais ou menos na mesma época do ataque do APT5.

• A Fortinet encontrou o CVE-2022-42475, uma vulnerabilidade de estouro de buffer baseada em heap, no FortiOS SSL-VPN que permite a execução remota de código para um de seus produtos VPN.
• Ele divulgou a exploração dessa vulnerabilidade na natureza, no entanto, não atribuiu o ataque e instou seus clientes a corrigir os sistemas afetados imediatamente.

Empacotando

Os hackers chineses têm um histórico de abuso de zero-days, que tentam aproveitar para realizar ataques sob o radar, mas, uma vez expostos, modificam as táticas e continuam evoluindo. Com patches recentes da Citrix e Fortinet, os usuários são aconselhados a corrigir esses bugs de dia zero o mais rápido possível para mitigar os riscos contra a exploração ativa.