Citrix ha parchado 11 vulnerabilidades que afectaban varios de sus productos. La compañía aseguró que este paquete de parches resuelve por completo todos los problemas de seguridad que se conocen, por lo que recomienda a sus usuarios que lo instalen cuanto antes.
La compañía asegura que no ha encontrado casos en los que se estén explotando estas vulnerabilidades en el mundo real. Además, aclaró que 5 de las 11 vulnerabilidades tienen barreras adicionales para su explotación.
Los productos afectados incluyen el Controlador de Distribución de Aplicaciones de Citrix (ADC), Citrix Gateway y Citrix SD-WAN WANOP. “El paquete incluye parches para una falla de inyección de código, tres fallas de divulgación de información, tres vulnerabilidades de elevación de privilegios, dos vulnerabilidades cross-site scripting, una falla de negación de servicio y una de evasión de autorizaciones”, explicó la compañía.
Citrix no ha hecho públicos los detalles técnicos de las vulnerabilidades para evitar que los cibercriminales la utilicen a su favor, pero indicó que la explotación de estas fallas podría comprometer la seguridad de un usuario autentificado mediante la administración de la interfaz de los productos o mediante Cross-site scripting (XSS) de la interfaz de administración.
Un criminal también podría crear un link de descarga para un dispositivo vulnerable y comprometerlo al permitir que un usuario que no ha sido autentificado administre la red. O podría usar IPs virtuales (VIPs) para escanear los portales de la red interna o lanzar ataques de negación de servicio contra el portal de entrada.
Citrix aclaró que las vulnerabilidades parchadas no están relacionadas con CVE-2019-19781, la vulnerabilidad de ejecución remota de códigos que parchó en 2020: y que ninguna de ellas es tan grave ni fácil de explotar como la infame “Shitrix”, que hizo estragos el diciembre pasado. Asimismo, aseguró que las fallas solucionadas no afectan a las versiones en la nube de sus productos.
Fuentes
Citrix Issues Critical Patches for 11 New Flaws Affecting Multiple Products • The Hacker News
Citrix limits technical info on vulnerabilities and patches after exploits • IT News
Citrix tells everyone not to worry too much over its latest security patches. NSA’s former top hacker disagrees • The Register
Citrix lanza parches para 11 vulnerabilidades en diferentes productos