Citrix وصله‌های برای آسیب‌پذیری بحرانی ADC بهره‌برداری‌شده در حملات فعال منتشر می‌کند

Citrix سرانجام انتشار وصله‌های امنیتی برای یک آسیب‌پذیری بحرانی در ADC و نرم‌افزار Gateway را آغاز کرده است. مهاجمان از اوایل ماه جاری، پس از آن‌که این شرکت از وجود این مسأله خبر داد بدون این‌که یک وصله‌ی دائمی منتشر کند، از آن بهره‌برداری می‌کنند.

از آن‌جا که مهاجمان وقت تلف نمی‌کنند و هیچ فرصتی را برای بهره‌برداری از سیستم‌های آسیب‌پذیر از دست نمی‌دهند، حتی یک تأخیر زمانی کوتاه در انتشار وصله نیز موجب آسیب دیدن صدها سیستم Gateway و ADC شرکت Citrix می‌شود.

این آسیب‌پذیری که با شناسه‌ی CVE-2019-19781 ردیابی می‌شود، یک مسأله‌ی پیمایش مسیر است که به مهاجمان راه دور احراز هویت نشده اجازه می‌دهد تا کد دلخواه را در چند نسخه از محصولات Gateway و ADC شرکت Citrix و در دو نسخه‌ی قدیمی‌تر SD-WAN WANOP این شرکت اجرا کنند.

این مسأله که در سیستم نمره‌دهی CVSS v3.1 امتیاز ۹٫۸ دارد بحرانی ارزیابی شده و توسط یکی از پژوهش‌گران Positive Technologies کشف و در اوایل ماه دسامبر به شرکت Citrix گزارش شد. این آسیب‌پذیری از هفته‌ی گذشته توسط ده‌ها گروه نفوذ و مهاجم مستقل مورد بهره‌برداری قرار گرفته است.

به‌گفته‌ی کارشناسان امنیت سایبری، درحال‌حاضر بیش از ۱۵ هزار سرور Gateway و ADC آسیب‌پذیر در دسترس عموم قرار دارد که مهاجمان می‌توانند از آن‌ها برای هدف قرار دادن شبکه‌های سازمانی بهره‌برداری کنند.

کارشناسان FireEye یک پویش حمله کشف کردند که در آن مهاجم ADSهای آسیب‌پذیر را در معرض نصب بار داده‌ای به نام NotRobin قرار می‌داد که سیستم‌ها را برای استخراج‌کنندگان و بدافزارهای مستقرشده توسط مهاجمان دیگر اسکن می‌کند و آن‌ها را برای حفظ دسترسی انحصاری حذف می‌کند.

فایرآی بیان می‌کند که این عامل تهدید با استفاده از CVE-2019-19781 از دستگاه‌های NetScaler بهره‌برداری می‌کند تا دستورات شِل را در دستگاه آسیب‌دیده اجرا کند. فایرآی معتقد است که عامل تهدید پشت پرده‌ی NOTROBIN دستگاه‌های NetScaler را در معرض خطر قرار داده است تا برای پویش آینده آماده شوند. آن‌ها سایر بدافزارهای شناخته‌شده را حذف می‌کنند تا از شناسایی آن‌ها توسط مدیران جلوگیری کنند.

هفته‌ی گذشته Citrix یک جدول زمانی برای انتشار وصله منتشر کرد و وعده داد که قبل از پایان ماه ژانویه‌ی سال جاری برای همه‌ی نسخه‌های پشتیبانی‌شده‌ی ADC و نرم‌افزار Gateway به‌روزرسانی‌های ثابت‌افزاری وصله‌شده منتشر کند.

Citrix در ۲۰ ژانویه وصله‌های دائمی برای نسخه‌های ۱۱٫۱ و ۱۲٫۰ ADC منتشر کرد که برای ADC و Gateway VPX  میزبانی‌شده در ESX، Hyper-V، KVM، XenServer، Azure، AWS، GCP یا یک ADC Service Delivery Appliance نیز اعمال می‌شود.

Citrix در مشاوره‌نامه‌ی خود بیان می‌کند که لازم است همه‌ی نمونه‌های ADC و Gateway نسخه‌ی ۱۱٫۱ Citrix به نسخه‌ی ۱۱٫۱٫۶۳ به‌روزرسانی شوند تا وصله‌های آسیب‌پذیری امنیتی را نصب کنند. لازم است همه‌ی نمونه‌های ADC و Gateway نسخه‌ی ۱۲٫۰ Citrix به نسخه‌ی ۱۲٫۰٫۶۳٫۱۳ به‌روزرسانی شوند تا وصله‌های آسیب‌پذیری امنیتی را نصب کنند.

این شرکت بیان کرد که کاربران خود را تشویق می‌کند تا در اسرع وقت این وصله‌ها را نصب کنند. این شرکت همچنین هشدار داد که مشتریانی که چند نسخه‌ی مختلف از ADC دارند باید نسخه‌ی درست وصله‌ها را به‌طور مجزا در هر سیستم اعمال کنند. علاوه‌بر نصب وصله‌های در دسترس برای نسخه‌های پشتیبانی‌شده و اعمال راه‌کارهای مقابله‌ای توصیه‌شده برای سیستم‌های وصله‌نشده، به مدیران ADC توصیه می‌شود که بر گزارش حملات در دستگاه خود نظارت کنند.

منبع

پست‌های مشابه

Leave a Comment