Ejecución remota de código en productos Citrix

Fecha de publicación 13/12/2022
Importancia
5 - Crítica
Recursos Afectados

Para verse afectados, Citrix ADC o Citrix Gateway deben configurarse como un SAML SP (Security Assertion Markup Language Service Provider) o un SAML IdP (Identity Provider).

  • Citrix ADC y Citrix Gateway, versiones:
    • anteriores a 12.1 y EOL;
    • 13.0 anteriores a 13.0-58.32;
    • 12.1 anteriores a 12.1-65.25.
  • Citrix ADC 12.1-FIPS, versiones anteriores a 12.1-55.291.

  • Citrix ADC 12.1-NDcPP, versiones anteriores a 12.1-55.291.

Descripción

Citrix ha reportado una vulnerabilidad 0day de severidad crítica, cuya explotación podría permitir a un atacante remoto, no autenticado, ejecutar código arbitrario en el dispositivo afectado.

Solución
  • Citrix ADC and Citrix Gateway, versiones:
    • 13.0-58.32 y posteriores;
    • 12.1-65.25 y posteriores de 12.1.
  • Citrix ADC 12.1-FIPS, versiones 12.1-55.291 y posteriores de 12.1-FIPS.
  • Citrix ADC 12.1-NDcPP, versiones 12.1-55.291 y posteriores de 12.1-NDcPP.
Detalle

El software de los dispositivos vulnerables no mantiene el control sobre un recurso durante toda su vida útil (creación, uso y liberación) y ofrece a los atacantes remotos la oportunidad de ejecutar código arbitrario (sin autenticación previa) en los dispositivos vulnerables. Se ha asignado el identificador CVE-2022-27518 para esta vulnerabilidad.

El fabricante tiene conocimiento de un pequeño número de ataques selectivos que están aprovechando esta vulnerabilidad, y recomienda aplicar las reglas de detección YARA publicadas en el aviso de seguridad de la NSA para detectar intentos de explotación.

Encuesta valoración

Listado de referencias
Citrix ADC and Citrix Gateway Security Bulletin for CVE-2022-27518
Critical security update now available for Citrix ADC, Citrix Gateway
APT5: Citrix ADC Threat Hunting Guidance
Etiquetas