# CVE-2022-27518 > [!critical] RCE sem Autenticação no Citrix ADC/Gateway - Explorado pelo APT15 > Vulnerabilidade crítica de execução remota de código no Citrix ADC e Gateway explorada pelo grupo de espionagem chinês APT15. Permite comprometimento total de appliances de acesso remoto sem credenciais. ## Visão Geral A [[cve-2022-27518|CVE-2022-27518]] é uma vulnerabilidade crítica de **execução remota de código sem autenticação** no Citrix ADC (Application Delivery Controller) e Citrix Gateway, corrigida em dezembro de 2022. A falha permite que atacantes executem código arbitrário em appliances vulneráveis simplesmente acessando a interface de gerenciamento, sem necessidade de credenciais válidas. Esta vulnerabilidade foi imediatamente associada ao [[g0004-apt15|APT15]] (Nickel), grupo de espionagem chinês com histórico extenso de exploração de dispositivos de acesso remoto. A NSA emitiu um advisory específico alertando sobre a exploração ativa desta CVE pelo APT15 contra alvos governamentais e de defesa nos Estados Unidos e aliados. O Citrix ADC/Gateway é amplamente utilizado como solução de VPN e balanceamento de carga em grandes organizações, tornando qualquer RCE sem autenticação um vetor crítico de acesso inicial para campanhas de espionagem de longo prazo. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | RCE sem Autenticação | | Componente | Citrix ADC/Gateway - SAML SP/IdP | | Vetor | Rede - sem autenticação | | Complexidade | Baixa | | Requer SAML configurado | Sim | | Exploração ativa (APT) | Confirmada pela NSA | ### Condição de Exploração A vulnerabilidade está presente apenas quando o Citrix ADC/Gateway está configurado como **SAML Service Provider (SP)** ou **SAML Identity Provider (IdP)** - configuração comum em ambientes com Single Sign-On federado. Appliances sem SAML configurado não são vulneráveis. ## TTPs Associadas | Técnica | Descrição | |---------|-----------| | [[t1190-exploit-public-facing-application\|T1190]] | Exploração do Citrix ADC exposto | | [[t1133-external-remote-services\|T1133]] | Abuso do gateway VPN comprometido | | [[t1078-valid-accounts\|T1078]] | Roubo de credenciais VPN pós-comprometimento | | [[t1560-001-archive-collected-data\|T1560.001]] | Exfiltração de dados pós-acesso | ## Detecção e Defesa **Mitigações:** - Aplicar hotfix CTX474995 do Citrix imediatamente - [[m1051-update-software\|M1051]] - Atualização urgente do Citrix ADC/Gateway - Verificar configuração SAML - aplicar patch prioritariamente em ambientes com SAML ativo - [[m1042-disable-or-remove-feature-or-program\|M1042]] - Desabilitar SAML SP/IdP se não necessário > [!latam] Relevância para Brasil e LATAM > O Citrix ADC/Gateway é utilizado por grandes bancos, operadoras e empresas de telecomúnicações brasileiras como solução de acesso remoto seguro. Com APT15 historicamente focado em espionagem industrial e governamental, organizações brasileiras com relevância estratégica que utilizam Citrix com SAML devem tratar este patch como emergência crítica e verificar sinais de comprometimento retrospectivamente. ## Referências - [Citrix Advisory CTX474995](https://support.citrix.com/article/CTX474995/citrix-adc-and-citrix-gateway-security-bulletin-for-cve202227518-and-cve202227519) - [NSA Advisory - CVE-2022-27518](https://media.defense.gov/2022/Dec/13/2003131586/-1/-1/0/CSA-APT5-CITRIXADC-V1.PDF) - [NVD - CVE-2022-27518](https://nvd.nist.gov/vuln/detail/CVE-2022-27518)