Softwarebedrijf Citrix waarschuwt organisaties voor een actief aangevallen zerodaylek in Citrix ADC en Citrix Gateway waardoor een aanvaller kwetsbare systemen op afstand kan overnemen. Organisaties worden opgeroepen om de beschikbaar gestelde beveiligingsupdates direct te installeren.

Citrix ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. De luxere versies bieden ook bescherming tegen dos-aanvallen en een webapplicatiefirewall.

Via de Citrix Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. Waarbij de Citrix ADC een apart apparaat is, is de Gateway een softwareoplossing die organisaties op een server moeten installeren.

De kwetsbaarheid waarvoor Citrix nu waarschuwt, aangeduid als CVE-2022-27518, laat een ongeauthenticeerde aanvaller op afstand willekeurige code op het systeem uitvoeren. De enige vereiste is wel dat de Citrix ADC of Citrix Gateway als een SAML Service Provider of een SAML identity provider is geconfigureerd.

Citrix stelt dat aanvallers al misbruik van de kwetsbaarheid maken. Vanwege de impact van een gecompromitteerd systeem, waardoor verdere aanvallen mogelijk zijn, adviseert Citrix om de beschikbaar gemaakte beveiligingsupdates zo snel mogelijk te installeren. Daarnaast heeft de Amerikaanse geheime dienst NSA een document gepubliceerd met advies om al gecompromitteerde Citrix-installaties te kunnen herkennen (pdf). De zeroday-aanvallen zijn volgens de NSA uitgevoerd door een spionagegroep aangeduid als APT5.

Een uit 2019 stammende kwetsbaarheid in Citrix Gateway en ADC werd destijds op grote schaal gebruikt en zorgde in Nederland volgens de ANWB zelfs voor files. Afgelopen oktober meldde de Amerikaanse overheid dat dit beveiligingslek nog altijd geliefd is bij aanvallers.