Citrix emite parches para 11 vulnerabilidades críticas

Citrix emitió ayer nuevos parches de seguridad para hasta 11 fallos de seguridad que afectan a sus productos de red Citrix Application Delivery Controller (ADC), Gateway y SD-WAN WAN Optimization edition (WANOP).

software citrix

Según la compañía, estas vulnerabilidades no están relacionadas con la vulnerabilidad de RCE CVE-2019-19781 que parcheó en enero de 2020 y no afectan a las versiones en la nube de los dispositivos Citrix.

La explotación exitosa de estos nuevos defectos críticos podría permitir a atacantes no autenticados llevar a cabo con éxito ataques de inyección de código, divulgación de información e incluso denegación de servicio contra la puerta de enlace o los servidores virtuales de autenticación.

«De las 11 vulnerabilidades encontradas, cinco de ellas tienen barreras que impiden la explotación. Además, los usuarios que no tienen tráfico no confiable en la red de administración únicamente pueden estar expuestos a un ataque de denegación de servicio».

Fermín Serna, CISO de Citrix

Entre los dispositivos Citrix SD-WAN WANOP afectados por las fallos, se incluyen los modelos 4000-WO, 4100-WO, 5000-WO y 5100-WO.

En el sitio web de Citrix se encuentra disponible un aviso de seguridad con información detallada sobre estas vulnerabilidades y enlaces a todas las actualizaciones de firmware.

ID de CVE Tipo de Vulnerabilidad Productos afectados
CVE-2019-18177 Divulgación de información Citrix ADC, Citrix Gateway
CVE-2020-8187 Denegación de servicio Citrix ADC, Citrix Gateway 12.0 y 11.1
CVE-2020-8190 Elevación local de privilegios Citrix ADC, Citrix Gateway
CVE-2020-8191 XSS Reflejado Citrix ADC, Citrix Gateway, Citrix SDWAN WANOP
CVE-2020-8193 Bypass de autorización Citrix ADC, Citrix Gateway, Citrix SDWAN WANOP
CVE-2020-8194 Inyección de código Citrix ADC, Citrix Gateway, Citrix SDWAN WANOP
CVE-2020-8195 Divulgación de información Citrix ADC, Citrix Gateway, Citrix SDWAN WANOP
CVE-2020-8196 Divulgación de información Citrix ADC, Citrix Gateway, Citrix SDWAN WANOP
CVE-2020-8197 Elevación de privilegios Citrix ADC, Citrix Gateway
CVE-2020-8198 XSS Persistente Citrix ADC, Citrix Gateway, Citrix SDWAN WANOP
CVE-2020-8199 Elevación local de privilegios Citrix Gateway Plug-in para Linux

Desde Hispasec se recomienda descargar y aplicar las versiones más recientes para dispositivos Citrix ADC, Citrix Gateway y Citrix SD-WAN WANOP lo antes posible para mitigar el riesgo y defenderse contra posibles ataques diseñados para explotar estos defectos.

Más información:
https://www.citrix.com/blogs/2020/07/07/citrix-provides-context-on-security-bulletin-ctx276688/
https://support.citrix.com/article/CTX276688

Comparte en tus redes: