Fallos críticos afectan a Citrix Endpoint Management (servidores XenMobile)

Citrix lanzó hoy parches para múltiples nuevas vulnerabilidades de seguridad que afectan a su Administración de puntos finales de Citrix (CEM)también conocido como XenMobile, un producto hecho para empresas para ayudar a las empresas a administrar y proteger los dispositivos móviles de sus empleados de forma remota.

Citrix Endpoint Management ofrece a las empresas capacidades de administración de dispositivos móviles (MDM) y administración de aplicaciones móviles (MAM). Permite a las empresas controlar qué aplicaciones pueden instalar sus empleados al tiempo que garantiza que se apliquen actualizaciones y configuraciones de seguridad para mantener protegida la información empresarial.

Según Citrix, hay un total de 5 vulnerabilidades que afectan las instancias locales de los servidores XenMobile que se utilizan en las empresas para administrar todas las aplicaciones, dispositivos o plataformas desde una ubicación central.

«Ya se han aplicado remediaciones a las versiones en la nube, pero los usuarios de derechos híbridos deben aplicar las actualizaciones a cualquier instancia local», dijo la compañía en una publicación hoy.

Si no se reparan y se explotan con éxito, las vulnerabilidades de seguridad recientemente identificadas podrían permitir colectivamente a los atacantes no autenticados obtener privilegios administrativos en los servidores XenMobile afectados.

«Recomendamos que estas actualizaciones se realicen de inmediato. Si bien no hay vulnerabilidades conocidas al momento de escribir este artículo, anticipamos que los actores maliciosos se moverán rápidamente para explotar», advirtió la compañía.

Las dos vulnerabilidades, rastreadas como CVE-2020-8208 y CVE-2020-8209 y calificadas como críticas, afectan las siguientes versiones de XenMobile Server:

  • Servidor XenMobile 10.12 anterior a RP2
  • Servidor XenMobile 10.11 anterior a RP4
  • Servidor XenMobile 10.10 anterior a RP6
  • Servidor XenMobile anterior a 10.9 RP5

Mientras que las otras tres vulnerabilidades de seguridad, rastreadas como CVE-2020-8210, CVE-2020-8211 y CVE-2020-8212 y clasificadas como de gravedad media/baja, residen en las siguientes versiones:

  • Servidor XenMobile 10.12 anterior a RP3
  • Servidor XenMobile 10.11 anterior a RP6
  • Servidor XenMobile 10.10 anterior a RP6
  • Servidor XenMobile anterior a 10.9 RP5

Una de las fallas críticas (CVE-2020-8209), descubierta por Andrey Medov de Positive Technologies, podría permitir que un atacante no autenticado lea archivos arbitrarios fuera del directorio raíz del servidor web, incluidos archivos de configuración y claves de cifrado para datos confidenciales.

«La explotación de esta vulnerabilidad permite a los piratas informáticos obtener información que puede ser útil para traspasar el perímetro, ya que el archivo de configuración suele almacenar credenciales de cuentas de dominio para el acceso LDAP», explicó Mendov.

Por lo tanto, con acceso a la cuenta de dominio, el atacante remoto puede apuntar a otros recursos externos de la empresa, como correo corporativo, VPN y aplicaciones web.

Lo que es peor, según el investigador, es que el atacante que ha logrado leer el archivo de configuración puede acceder a datos confidenciales, como la contraseña de la base de datos (PostgreSQL local por defecto y una base de datos remota de SQL Server en algunos casos).

Sin embargo, dado que la base de datos se almacena dentro del perímetro corporativo y no se puede acceder desde el exterior, dijo Mendov, «este vector de ataque solo se puede usar en ataques complejos, por ejemplo, con la participación de un cómplice interno».

«Los últimos parches continuos que deben aplicarse para las versiones 10.9, 10.10, 10.11 y 10.12 están disponibles de inmediato», señala Citrix en una publicación de blog.

«Cualquier versión anterior a 10.9.x debe actualizarse a una versión compatible con el último parche continuo. Recomendamos que actualice a 10.12 RP3, la última versión compatible».

Dado que los productos Citrix se han convertido recientemente en uno de los objetivos favoritos de los piratas informáticos después de la explotación salvaje de las vulnerabilidades de Citrix ADC, Gateway y Sharefile, se recomienda encarecidamente a los usuarios actualizar sus sistemas con las últimas versiones del software.

Cabe señalar que la compañía aún no ha revelado los detalles técnicos de las vulnerabilidades, pero ya notificó previamente a varios de los principales CERT de todo el mundo y a sus clientes el 23 de julio.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática