Citrix insta a sus clientes a instalar actualizaciones de seguridad para tres vulnerabilidades críticas de omisión de autenticación en Citrix ADC y Citrix Gateway.
Bajo configuraciones específicas, las tres vulnerabilidades pueden permitir que los atacantes obtengan acceso no autorizado al dispositivo, realicen la toma de control de escritorio remoto o eludan la protección de fuerza bruta de inicio de sesión.
«Tenga en cuenta que solo los dispositivos que funcionan como puerta de enlace (dispositivos que utilizan la funcionalidad SSL VPN o se implementan como un proxy ICA con autenticación habilitada) se ven afectados por el primer problema, que se clasifica como una vulnerabilidad de gravedad crítica», explica el boletín de seguridad de Citrix.
Citrix Gateway es un servicio SSL VPN que brinda acceso remoto seguro con capacidades de administración de acceso e identidad, ampliamente implementado en la nube o en servidores corporativos locales. Citrix ADC es una solución de balanceador de carga para aplicaciones en la nube implementadas en la empresa.
Ambos productos son ampliamente utilizados por organizaciones de todo el mundo, y las tres fallas afectan a las versiones actuales y anteriores. Las tres vulnerabilidades que afectan tanto a Citrix Gateway como a Citrix ADC son las siguientes:
- CVE-2022-27510: Omisión de autenticación de gravedad crítica mediante una ruta o canal alternativo, explotable solo si el dispositivo está configurado como VPN (puerta de enlace).
- CVE-2022-27513: verificación insuficiente de la autenticidad de los datos, lo que permite la toma de control de escritorio remoto a través de phishing. La falla es explotable solo si el dispositivo está configurado como VPN (puerta de enlace) y la funcionalidad de proxy RDP está configurada.
- CVE-2022-27516: Fallo en el mecanismo de protección de fuerza bruta de inicio de sesión que permite omitirlo. Esta vulnerabilidad solo puede explotarse si el dispositivo está configurado como VPN (Gateway) o servidor virtual AAA con la configuración «Max Login Attempts».
Se recomienda a los clientes afectados de Citrix ADC y Citrix Gateway que instalen las versiones actualizadas relevantes de Citrix ADC o Citrix Gateway lo antes posible.
Los defectos anteriores afectan a las siguientes versiones del producto:
- Citrix ADC y Citrix Gateway 13.1 anteriores a 13.1-33.47
- Citrix ADC y Citrix Gateway 13.0 anteriores a 13.0-88.12
- Citrix ADC y Citrix Gateway 12.1 anteriores a 12.1.65.21
- Citrix ADC 12.1-FIPS anteriores a 12.1-55.289
- Citrix ADC 12.1-NDcPP anteriores a 12.1-55.289
Los usuarios de estas versiones de productos que administran dispositivos Citrix por sí mismos deben actualizarse a la última versión disponible lo antes posible.
Los clientes que confían en Citrix para los servicios de administración basados en la nube no necesitan realizar ninguna acción, ya que el proveedor ya aplicó las actualizaciones de seguridad.
Tenga en cuenta que la información sobre las versiones de productos anteriores a la 12.1 que han llegado al final de su vida útil no está disponible, por lo que se recomienda a los clientes que aún usan estas versiones que actualicen a una versión compatible.