IT-selskapet Citrix er et navn som har gått igjen i flere datainnbrudd og sikkerhetsrelaterte saker, og tampen av 2022 ble intet unntak. Amerikanske myndigheter advarte nemlig nylig om sårbarheter i Citrix' utstyr som utnyttes aktivt av hackere, melder blant andre Hacker News.
Sårbarheten det dreier seg om, bærer sporingskoden CVE-2022-27518 og betegnes som et kritisk sikkerhetshull som muliggjør uautorisert fjernkjøring av kode og overtakelse av systemet.
NSA advarer
Sikkerhetshullet ligger i Citrix ADC (Application Delivery Controller), en løsning som brukes til lastbalansering og kjøring av applikasjoner i nettverksmiljøer.
Det amerikanske etterretningsbyrået NSA advarte i midten av desember om at kinesiske trusselaktører, nærmere bestemt en gruppe som omtales som APT5, aktivt utnytter sikkerhetshullet.
– APT5 har demonstrert at de er i stand til å utføre angrep mot Citrix ADC-implementeringer. Å gå etter Citrix ADC-er kan legge til rette for illegitim, målrettet tilgang til organisasjoner ved å omgå normale autentiseringskontroller, skriver NSA.
I et blogginnlegg presiserer Citrix selv at de har gjennomført en egen etterforskning og identifisert sårbarheter i Citrix ADC og Citrix Gateway-versjoner 12.1 og 13.0. Selskapet opplyser videre at de er klar over et «lite antall» angrep som utnytter sikkerhetshullet.
Selskapet har allerede sluppet en fiks til sårbarheten, men problemet er et mange ennå ikke har installert oppdateringen, som innebærer at utsatte servere fremdeles er sårbare.
Mange norske servere ikke fikset
Etter at sårbarheten ble kjent, startet sikkerhetsselskapet NCC Group en etterforskning for å avdekke hvor mange Citrix ADC- og Gateway-servere som ennå ikke er patchet med Citrix' oppdatering, og antallet viser seg å være ganske høyt – også her til lands.
Ifølge NCC' statistikk har kun 45 prosent av norske servere blitt oppdatert per 28. desember, som er på nivå med nabolandet Sverige. Danmark ligger litt høyere, med 62 prosent. Det er uvisst akkurat hvor mange servere som finnes i Norge – og dermed hvor utbredt trusselen er i absolutte tall. Etter grafen å dømme dreier det seg i alle fall om noen hundre. Søketjenesten Shodan finner 629 Citrix-systemer med norsk IP-adresse.
Også i USA, som sitter på det klart største antallet utsatte servere, er det for øvrig kun 42 prosent som hittil er fikset.
Det ble også avdekket en annen sårbarhet på samme tid, med sporingskoden CVE-2022-27510, som også er kategorisert som kritisk. Denne sårbarheten kan brukes til å omgå autentisering, men har ikke blitt observert utnyttet «in the wild», som det heter.
Mer informasjon kan du finne i NCC Groups tekniske analyse.
Oppdatert kl. 15.21: Antallet norske systemer funnet av Shodan er inkludert i saken.
Cisco utsatt for datainnbrudd