در 19 ژانویه ، Citrix برخی از رفع های دائمی را در معرض آسیب پذیری در کنترل شرکت تحویل برنامه Citrix (ADC) قرار داد. ) و سرورهای شبکه خصوصی مجازی Citrix Gateway که به یک مهاجم اجازه می دهند از راه دور کد را بر روی دروازه بدون نیاز به ورود به سیستم انجام دهد. این آسیب پذیری بر ده ها هزار سرور VPN شناخته شده ، از جمله حداقل 260 سرور VPN مرتبط با آژانس های دولتی فدرال ، ایالتی و محلی محلی تأثیر می گذارد – از جمله حداقل یک سایت که توسط ارتش ایالات متحده اداره می شود.

این تکه ها برای نسخه های 11.1 و 12.0 از محصولات ، که قبلاً تحت نام NetScaler به بازار عرضه می شدند. تکه های دیگر در تاریخ 24 ژانویه در دسترس خواهند بود. این تکه ها دستورالعمل های مربوط به رفع موقت شرکت ارائه شده برای رفع درخواست های دستکاری شده در رابطه با آسیب پذیری ، که می تواند توسط یک مهاجم برای دسترسی به شبکه های محافظت شده توسط VPN ها استفاده شود را دنبال می کند.

Fermin J. Serna ، مدیر ارشد امنیت اطلاعات در Citrix ، اصلاحات را در پست وبلاگ روز یکشنبه اعلام کرد. در همین زمان ، Serna فاش کرد که این آسیب پذیری – و تکه های منتشر شده – نیز در دستگاه های مجازی Citrix ADC و Citrix Gateway Virtual که در دستگاههای مجازی در تمام سیستم عاملهای مجازی سازی تجاری و همچنین آنهایی که در آزور ، خدمات وب آمازون میزبانی شده اند ، اعمال می شود. Google Computing Platform و لوازم تحویل خدمات Citrix (SDXs).

مقدار زیادی برای وصله

این امر باعث می شود بسیاری از کارها طی چند هفته آینده برای مشتریان Citrix انجام شود ، که شامل هزاران آژانس دولتی ، مؤسسات آموزشی ، بیمارستان ها و شرکت های بزرگ در سراسر جهان.

از هفته گذشته ، طبق اطلاعات ارائه شده توسط Bad Packets به Ars Technica ، بیش از 26،000 سرور هنوز در برابر درخواست جعلی آسیب پذیر بودند. داده ها ، از جمله اطلاعات مربوط به دروازه های احتمالی VPN دولتی ، توسط بسته های بد با آژانس امنیت سایبری و امنیت زیرساخت به اشتراک گذاشته شده است. آنها شامل یک دروازه مرتبط با سیستم پرسنلی غیرنظامی DOD ، سرویس سرشماری ایالات متحده و تعدادی از آژانس های اجرای قانون محلی بودند.

به ناچار صدها سرور Citrix VPN برای هفته ها یا ماه ها آسیب پذیر خواهند ماند. بنا به گزارشات FireEye ، برخی از آنها در حال حاضر مورد حمله قرار گرفته اند. یکی از مهاجمان می تواند تنظیمات کاهش را برای جلوگیری از سایر مهاجمین انجام دهد و سایر بدافزارهای نصب شده را قبل از راه اندازی فضای داخلی خود بوت کند.

بسیاری از سوء استفاده ها تاکنون نصب نشده اند. تأثیر بدافزارها ، از جمله نرم افزار استخراج رمزنگاری. اما براساس اتفاقی که در مورد آسیب پذیری Pulse Secure در سال گذشته رخ داد ، اپراتورهای باج افزار و دیگر مجرمان سایبری به زودی به این شکار می پیوندند.

در همین حال ، یکی از اعضای گروهی که فعالیت کمپین باج افزار REvil را انجام داده بود اخیراً تصدیق کرد که این گروه با استفاده از Pulse Secure به Travelex حمله کرده اند. به گفته محقق امنیتی ویتالی کرمز ، آسیب پذیری. UNKN ، سرپرست نرم افزارهای مخرب REvil ، ادعای اعتباری برای حمله Travelex در یک پست انجمن در تاریخ 7 ژانویه انجام داد و گفت که مدیران Travelex برای عجله و پرداخت نیاز دارند یا تاریخ تولد مشتریان ، شماره های تأمین اجتماعی و داده های کارت اعتباری ". به کسی فروخته شود. "