Citrix libera parches de seguridad para 11 vulnerabilidades críticas

Citrix emitió ayer nuevos parches de seguridad asociados a 11 fallos de seguridad que afectan a sus productos de red Citrix Application Delivery Controller (ADC), Gateway y SD-WAN WAN Optimization edition (WANOP).

Según la compañía, estas vulnerabilidades no están relacionadas con la vulnerabilidad de RCE CVE-2019-19781 que parcheó en enero de 2020 y no afectan a las versiones en la nube de los dispositivos Citrix.

La explotación exitosa de estos nuevos defectos críticos podría permitir a atacantes no autenticados llevar a cabo con éxito ataques de inyección de código, divulgación de información e incluso denegación de servicio contra la puerta de enlace o los servidores virtuales de autenticación.

«De las 11 vulnerabilidades encontradas, cinco de ellas tienen barreras que impiden la explotación. Además, los usuarios que no tienen tráfico no confiable en la red de administración únicamente pueden estar expuestos a un ataque de denegación de servicio».

Fermín Serna, CISO de Citrix

Entre los dispositivos Citrix SD-WAN WANOP afectados por las fallos, se incluyen los modelos 4000-WO, 4100-WO, 5000-WO y 5100-WO.

En el sitio web de Citrix se encuentra disponible un aviso de seguridad con información detallada sobre estas vulnerabilidades y enlaces a todas las actualizaciones de firmware.

ID de CVETipo de VulnerabilidadProductos afectados
CVE-2019-18177Divulgación de informaciónCitrix ADC, Citrix Gateway
CVE-2020-8187Denegación de servicioCitrix ADC, Citrix Gateway 12.0 y 11.1
CVE-2020-8190Elevación local de privilegiosCitrix ADC, Citrix Gateway
CVE-2020-8191XSS ReflejadoCitrix ADC, Citrix Gateway, Citrix SDWAN WANOP
CVE-2020-8193Bypass de autorizaciónCitrix ADC, Citrix Gateway, Citrix SDWAN WANOP
CVE-2020-8194Inyección de códigoCitrix ADC, Citrix Gateway, Citrix SDWAN WANOP
CVE-2020-8195Divulgación de informaciónCitrix ADC, Citrix Gateway, Citrix SDWAN WANOP
CVE-2020-8196Divulgación de informaciónCitrix ADC, Citrix Gateway, Citrix SDWAN WANOP
CVE-2020-8197Elevación de privilegiosCitrix ADC, Citrix Gateway
CVE-2020-8198XSS PersistenteCitrix ADC, Citrix Gateway, Citrix SDWAN WANOP
CVE-2020-8199Elevación local de privilegiosCitrix Gateway Plug-in para Linux

Se recomienda descargar y aplicar las versiones más recientes para dispositivos Citrix ADC, Citrix Gateway y Citrix SD-WAN WANOP lo antes posible para mitigar el riesgo y defenderse contra posibles ataques diseñados para explotar estos defectos.

Referencias: