La vulnerabilidad ha sido notificada por el propio fabricante para su producto Citrix Application Delivery Controller (ADC), anteriormente conocido como (NetScaler ADC, Citrix Gateway o NetScaler Gateway), y podría permitir a un atacante no autenticado llevar a cabo ejecución de código arbitrario.
La vulnerabilidad tiene asociado el identificador CVE-2019-19781, el cual aún aparece como reservado en la web del Mitre, por lo que no se dispone de confirmación oficial de las métricas asociadas.
La vulnerabilidad ha sido descubierta por Mikhail Klyuchnikov de la empresa Positive Technologies, que según su reporte estima que 80.000 compañías en 158 países están potencialmente en riesgo, la mayoría de ellas en EEUU (38%), seguidas por Reino Unido, Alemania, los Países Bajos y Australia.
Al tratarse de una vulnerabilidad que puede ser explotada sin necesidad de ningún tipo de autenticación y teniendo en cuenta el propósito del software, es lógico pensar que se trate de una vulnerabilidad que en muchos casos se pueda explotar remotamente, por lo que la explotación de esta vulnerabilidad podría permitir a los atacantes obtener acceso a la red de la compañía desde el exterior.
Además de esta circunstancia y considerando la configuración, las aplicaciones Citrix se pueden usar para conectarse a estaciones de trabajo. Teniendo en cuenta que las aplicaciones de Citrix son accesibles en red local, el fallo podría permitir a los atacantes atacar otros recursos en la red interna desde el servidor Citrix.
Citrix ha lanzado contramedidas para mitigar la vulnerabilidad, además de una actualización para los productos afectados.
Positive Technologies señaló que la vulnerabilidad se introdujo en el software Citrix en 2014, razón por la cual es importante detectar también la explotación anterior, ya que no se descarta que esta vulnerabilidad haya podido ser aprovechada por atacantes remotos en el pasado.
Para mayor información :
- https://www.ptsecurity.com/ww-en/about/news/citrix-vulnerability-allows-criminals-to-hack-networks-of-80000-companies/
- https://support.citrix.com/article/CTX267027