Een recent ontdekte zeroday bij Citrix wordt actief uitgebuit door Chinese hackers, waarschuwt de Amerikaanse inlichtingendienst. Klanten moeten hun netwerktools zo snel mogelijk updaten.
Op 13 december trok Citrix aan de alarmbel over de zeroday-kwetsbaarheid CVE-2022-27518 die van toepassing is op de netwerkoplossingen Citrix ADC en Citrix Gateway. Aanvallers kunnen de kwetsbaarheid misbruiken om, zonder een wachtwoord nodig te hebben, toegang te krijgen tot een bedrijfsnetwerk en remote code uit te voeren op aangesloten apparaten.
Citrix waarschuwt voor actief gebruik van de zeroday: “We zijn op de hoogte van een beperkt aantal gerichte aanvallen met deze kwetsbaarheid.” Verder weerhoudt de netwerkspecialist zich ervan meer details te delen over hoeveel bedrijven zouden kunnen getroffen zijn en welke sectoren hackers viseren.
ATP5
De Amerikaanse inlichtingendienst NSA doet dat wel, en wijst met beschuldigende vinger naar Chinese hackersgroepen. Zo zou de groep ATP5 Citrix ADC gebruiken als aanvalsvector om onopgemerkt binnen te breken bij bedrijven.
Het vermoeden heerst dat ATP5, een collectief dat uit meerdere kleinere groeperingen bestaat, cyberspionage uitvoert in opdracht van de Chinese overheid. NSA deelt in een handleiding tips om sporen van cyberspionage te ontdekken en het lek te dichten.
Citrix is inmiddels ook al met een noodpatch op de proppe gekomen. Gebruikers van Citrix ADC en Gateway worden geadviseerd zo snel mogelijk te updaten naar de veilige versies 13.1.