Ejecución remota de código en productos Citrix
INCIBE-2022-1051
Para verse afectados, Citrix ADC o Citrix Gateway deben configurarse como un SAML SP (Security Assertion Markup Language Service Provider) o un SAML IdP (Identity Provider).
- Citrix ADC y Citrix Gateway, versiones:
- anteriores a 12.1 y EOL;
- 13.0 anteriores a 13.0-58.32;
- 12.1 anteriores a 12.1-65.25.
- Citrix ADC 12.1-FIPS, versiones anteriores a 12.1-55.291.
-
Citrix ADC 12.1-NDcPP, versiones anteriores a 12.1-55.291.
Citrix ha reportado una vulnerabilidad 0day de severidad crítica, cuya explotación podría permitir a un atacante remoto, no autenticado, ejecutar código arbitrario en el dispositivo afectado.
- Citrix ADC and Citrix Gateway, versiones:
- 13.0-58.32 y posteriores;
- 12.1-65.25 y posteriores de 12.1.
- Citrix ADC 12.1-FIPS, versiones 12.1-55.291 y posteriores de 12.1-FIPS.
- Citrix ADC 12.1-NDcPP, versiones 12.1-55.291 y posteriores de 12.1-NDcPP.
El software de los dispositivos vulnerables no mantiene el control sobre un recurso durante toda su vida útil (creación, uso y liberación) y ofrece a los atacantes remotos la oportunidad de ejecutar código arbitrario (sin autenticación previa) en los dispositivos vulnerables. Se ha asignado el identificador CVE-2022-27518 para esta vulnerabilidad.
El fabricante tiene conocimiento de un pequeño número de ataques selectivos que están aprovechando esta vulnerabilidad, y recomienda aplicar las reglas de detección YARA publicadas en el aviso de seguridad de la NSA para detectar intentos de explotación.