Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Ejecución remota de código en productos Citrix

Fecha de publicación 13/12/2022
Identificador

INCIBE-2022-1051

Importancia
5 - Crítica
Recursos Afectados

Para verse afectados, Citrix ADC o Citrix Gateway deben configurarse como un SAML SP (Security Assertion Markup Language Service Provider) o un SAML IdP (Identity Provider).

  • Citrix ADC y Citrix Gateway, versiones:
    • anteriores a 12.1 y EOL;
    • 13.0 anteriores a 13.0-58.32;
    • 12.1 anteriores a 12.1-65.25.
  • Citrix ADC 12.1-FIPS, versiones anteriores a 12.1-55.291.
  • Citrix ADC 12.1-NDcPP, versiones anteriores a 12.1-55.291.

Descripción

Citrix ha reportado una vulnerabilidad 0day de severidad crítica, cuya explotación podría permitir a un atacante remoto, no autenticado, ejecutar código arbitrario en el dispositivo afectado.

Solución
  • Citrix ADC and Citrix Gateway, versiones:
    • 13.0-58.32 y posteriores;
    • 12.1-65.25 y posteriores de 12.1.
  • Citrix ADC 12.1-FIPS, versiones 12.1-55.291 y posteriores de 12.1-FIPS.
  • Citrix ADC 12.1-NDcPP, versiones 12.1-55.291 y posteriores de 12.1-NDcPP.
Detalle

El software de los dispositivos vulnerables no mantiene el control sobre un recurso durante toda su vida útil (creación, uso y liberación) y ofrece a los atacantes remotos la oportunidad de ejecutar código arbitrario (sin autenticación previa) en los dispositivos vulnerables. Se ha asignado el identificador CVE-2022-27518 para esta vulnerabilidad.

El fabricante tiene conocimiento de un pequeño número de ataques selectivos que están aprovechando esta vulnerabilidad, y recomienda aplicar las reglas de detección YARA publicadas en el aviso de seguridad de la NSA para detectar intentos de explotación.

Encuesta valoración