Hackers Chineses tem como alvo Citrix e Fortinet Zero-days

O grupo de hackers apoiado pelo estado chinês APT5 está explorando uma vulnerabilidade de dia zero em alguns produtos Citrix. Ele pode permitir que um invasor remoto não autenticado execute a execução de código arbitrário no dispositivo.
Compartilhe

Exploração do dia zero Citrix

A NSA lançou um aviso sobre a exploração selvagem da vulnerabilidade ( CVE-2022-27518 ) que afeta o Citrix Application Delivery Controller (ADC) e o Citrix Gateway. Atribuiu a atividade ao grupo APT5.

  • A Citrix confirmou a exploração dessa vulnerabilidade em dispositivos não mitigados em estado selvagem e lançou um patch de emergência para corrigir a vulnerabilidade.
  • O comunicado da NSA efetivamente bloqueou uma aparente operação de inteligência chinesa, expondo seus TTPs. Além disso, está aconselhando as vítimas em potencial sobre como evitar novos ataques.
  • Os especialistas descobriram que menos de um por cento dos ambientes corporativos em nuvem são vulneráveis ​​a essa vulnerabilidade.

Uma visão geral do APT5

O APT5, também conhecido como UNC2630 e Manganês, é conhecido por atingir empresas de telecomunicações e tecnologia. Ele explorou vulnerabilidades nos servidores Fortinet e Pulse Secure VPN. Historicamente, lançou campanhas no Sudeste Asiático, Europa e Estados Unidos

Exploração do bug da Fortinet

Outro grupo de ameaças chinês foi observado abusando de outra vulnerabilidade de execução remota de código, mais ou menos na mesma época do ataque do APT5.

  • A Fortinet encontrou o CVE-2022-42475, uma vulnerabilidade de estouro de buffer baseada em heap, no FortiOS SSL-VPN que permite a execução remota de código para um de seus produtos VPN.
  • Ele divulgou a exploração dessa vulnerabilidade na natureza, no entanto, não atribuiu o ataque e instou seus clientes a corrigir os sistemas afetados imediatamente.

Empacotando

Os hackers chineses têm um histórico de abuso de zero-days, que tentam aproveitar para realizar ataques sob o radar, mas, uma vez expostos, modificam as táticas e continuam evoluindo. Com patches recentes da Citrix e Fortinet, os usuários são aconselhados a corrigir esses bugs de dia zero o mais rápido possível para mitigar os riscos contra a exploração ativa.