Citrix emitió ayer nuevos parches de seguridad para hasta 11 fallas de seguridad que afectan a sus productos de red Citrix Application Delivery Controller (ADC), Gateway y SD-WAN WAN Optimization Edition (WANOP).
La explotación exitosa de estas fallas críticas podría permitir que los atacantes no autenticados realicen inyección de código, divulgación de información e incluso ataques de denegación de servicio contra la puerta de enlace o los servidores virtuales de autenticación.
Citrix confirmó que los problemas antes mencionados no afectan a otros servidores virtuales, como el equilibrio de carga y los servidores virtuales de cambio de contenido.
Entre los dispositivos Citrix SD-WAN WANOP afectados se incluyen los modelos 4000-WO, 4100-WO, 5000-WO y 5100-WO.
El proveedor de redes también reiteró que estas vulnerabilidades no estaban conectadas a una falla de NetScaler de día cero previamente corregida (etiquetada como CVE-2019-19781) que permitía a los malos actores realizar la ejecución de código arbitrario incluso sin la autenticación adecuada.
También dijo que no hay evidencia de que las fallas recientemente reveladas se exploten en la naturaleza y que las barreras para la explotación de estas fallas son altas.
«De las 11 vulnerabilidades, hay seis posibles rutas de ataque; cinco de ellas tienen barreras para la explotación», dijo el CISO de Citrix, Fermín Serna. «Dos de los tres posibles ataques restantes requieren además alguna forma de acceso existente. Eso significa que un actor malicioso externo primero necesitaría obtener acceso no autorizado a un dispositivo vulnerable para poder realizar un ataque».
Aunque Citrix se ha abstenido de publicar detalles técnicos de las vulnerabilidades citando los esfuerzos de los actores maliciosos para aprovechar los parches y la información para aprovechar las vulnerabilidades de ingeniería inversa, los ataques a la interfaz de administración de los productos podrían resultar en el compromiso del sistema por parte de un usuario no autenticado, o a través de Cross- Site Scripting (XSS) en la interfaz de administración.
Un adversario también podría crear un enlace de descarga para un dispositivo vulnerable, lo que podría resultar en el compromiso de una computadora local al ser ejecutado por un usuario no autenticado en la red de administración.
Una segunda clase de ataques se refiere a las IP virtuales (VIP), que permiten a un atacante montar DoS contra la puerta de enlace o escanear de forma remota los puertos de la red interna.
«Los atacantes solo pueden discernir si es posible una conexión TLS con el puerto y no pueden comunicarse más con los dispositivos finales», señaló Citrix en su aviso.
Además, una vulnerabilidad separada en Citrix Gateway Plug-in para Linux (CVE-2020-8199) otorgaría a un usuario local que inició sesión en un sistema Linux elevar sus privilegios a una cuenta de administrador en ese sistema.
Según un informe de Positive Technologies de diciembre pasado, más de 80 000 organizaciones en todo el mundo utilizan las aplicaciones de gestión de tráfico y acceso remoto seguro.
Se recomienda descargar y aplicar las compilaciones más recientes para los dispositivos Citrix ADC, Citrix Gateway y Citrix SD-WAN WANOP lo antes posible para mitigar el riesgo y defenderse contra posibles ataques diseñados para explotar estas fallas.
