TLP: White
NIVEL DE RIESGO – CVSS v3.0: 7.3 [Alto]
Acción Requerida: Aplicar las actualizaciones a los productos afectados liberadas por el fabricante.
Vector de ataque: Remoto, ejecución de código arbitrario.
Impacto: Acceso no autorizado y ejecución de código remoto, elevación de privilegios y divulgación de información.

Descripción

Citrix ha publicado actualizaciones de seguridad por medio de su boletín de seguridad “CTX276688” para solucionar vulnerabilidades presentes en los productos Citrix ADC (anteriormente conocido como NetScaler ADC), Citrix Gateway (anteriormente conocido como NetScaler Gateway) y Citrix SD-WAN WANOP. Los fallos de seguridad en los productos antes mencionados tienen asignados lo siguientes identificadores CVE:

  1. CVE-2019-18177: vulnerabilidad de divulgación de información.
  2. CVE-2020-8187: vulnerabilidad que permite la denegación de servicio.
  3. CVE-2020-8190: vulnerabilidad que permite escalar privilegios localmente.
  4. CVE-2020-8191: vulnerabilidad que permite ataques XSS Reflejados.
  5. CVE-2020-8193: vulnerabilidad que permite aludir protocolos de seguridad.
  6. CVE-2020-8194: vulnerabilidad que permite la inyección de código.
  7. CVE-2020-8195: vulnerabilidad que permite la divulgación de información.
  8. CVE-2020-8196: vulnerabilidad que permite la divulgación de información.
  9. CVE-2020-8197: vulnerabilidad que permite la elevación de privilegios.
  10. CVE-2020-8198: vulnerabilidad que permita ataques XSS Persistentes.
  11. CVE-2020-8199: vulnerabilidad que permite escalar privilegios localmente.

El aprovechamiento exitoso de estos defectos de seguridad podría permitir a actores maliciosos no autenticados llevar a cabo ataques de inyección de código, divulgación de información e incluso denegación de servicio contra la puerta de enlace o los servidores virtuales de autenticación.

Nivel de riesgo

  • CVSS v3.0: 7.3 [Alto]

Sistemas/tecnologías afectadas

  • Citrix ADC y Citrix Gateway en sus versiones anteriores a 13.0-58.30.
  • Citrix ADC y NetScaler Gateway en sus versiones anteriores a 12.1-57.18.
  • Citrix ADC y NetScaler Gateway en sus versiones anteriores a 12.0-63.21.
  • Citrix ADC y NetScaler Gateway en sus versiones anteriores a 11.1-64.14.
  • NetScaler ADC y NetScaler Gateway en sus versiones anteriores a 10.5-70.18.
  • Citrix SD-WAN WANOP en sus versiones anteriores a 11.1.1a.
  • Citrix SD-WAN WANOP en sus versiones anteriores a 11.0.3d.
  • Citrix SD-WAN WANOP en sus versiones anteriores a 10.2.7.
  • Citrix Gateway Plug-in para Linux en sus versiones anteriores a 1.0.0.137.

Medidas de erradicación

Implementar las actualizaciones que corrigen las vulnerabilidades liberadas por Citrix. La empresa recomienda a sus clientes que instalen inmediatamente estas actualizaciones:

  • Citrix ADC y Citrix Gateway 13.0-58.30 y versiones posteriores.
  • Citrix ADC y NetScaler Gateway 12.1-57.18 y versiones posteriores a 12.1.
  • Citrix ADC y NetScaler Gateway 12.0-63.21 y versiones posteriores a 12.0.
  • Citrix ADC y NetScaler Gateway 11.1-64.14 y versiones posteriores a 11.1.
  • NetScaler ADC y NetScaler Gateway 10.5-70.18 y versiones posteriores a 10.5.
  • Citrix SD-WAN WANOP 11.1.1a y versiones posteriores.
  • Citrix SD-WAN WANOP 11.0.3d y versiones posteriores a 11.0.
  • Citrix SD-WAN WANOP 10.2.7 y versiones posteriores a 10.2.
  • Citrix Gateway Plug-in para Linux 1.0.0.137 y versiones posteriores.

Referencias