Hàng nghìn máy chủ Citrix có nguy cơ bị tấn công

Vào đầu tháng 11/2022, Citrix đã phát hiện và vá lỗ hổng “truy cập trái phép vào Gateway”, có tên là CVE-2022-27510. Lỗ hổng này ảnh hưởng đến cả hai sản phẩm Citrix ADC và Gateway, nó cho phép kẻ tấn công có được quyền truy cập vào các điểm cuối mục tiêu, chiếm đoạt thiết bị từ xa và bỏ qua biện pháp bảo vệ đăng nhập của thiết bị.

Khoảng một tháng sau, vào giữa tháng 12, Citrix đã vá lỗ hổng “thực thi mã tùy ý từ xa”, có tên là CVE-2022-27518. Nó cho phép các tác nhân đe dọa thực thi mã độc hại trên điểm cuối đích, từ xa để chiếm quyền kiểm soát các hệ thống bị ảnh hưởng.

Cả hai lỗ hổng đều có điểm mức độ nghiêm trọng là 9,8/10 và ít nhất một trong số chúng đã bị khai thác, các nhà nghiên cứu từ nhóm Fox - IT của NCC Group tuyên bố.

Trên thực tế, Cơ quan An ninh quốc gia Hoa Kỳ (NSA) đã cảnh báo vào đầu tháng 12 rằng một nhóm tin tặc do nhà nước Trung Quốc bảo trợ đang khai thác lỗ hổng thứ hai dưới dạng lỗ hổng bảo mật zero-day.

Trước đó, trong một bài đăng trên blog chính thức, giám đốc bảo mật tại Citrix Peter Lefkowitz đã tuyên bố rằng “việc khai thác lỗ hổng này đã được báo cáo,” nhưng không nêu chi tiết về số vụ tấn công hoặc các ngành liên quan.

Các nhà nghiên cứu Fox-IT cho biết hàng nghìn máy chủ Citrix đang hiện diện trên Internet vẫn chưa được vá, khiến chúng trở thành mục tiêu hấp dẫn của tin tặc. Kể từ ngày 11/11/2022 đến nay, ít nhất 28.000 máy chủ Citrix đã được phát hiện gặp rủi ro./.