Vulnerabilidad TLS Padding Oracle en productos Citrix

Fecha de publicación 24/01/2019
Importancia
4 - Alta
Recursos Afectados

Se ven afectadas las plataformas que no se encuentran en la siguiente lista y que ejecutan las siguientes versiones de Citrix ADC y NetScaler Gateway, incluidas las instancias de Citrix ADC en plataformas SDX que utilizan aceleración de hardware mediante una función virtual asignada (VF):

  • Citrix ADC y NetScaler Gateway versión 12.1 anterior a la build 50.31
  • Citrix ADC and NetScaler Gateway versión 12.0 anterior a la build 60.9
  • Citrix ADC and NetScaler Gateway versión 11.1 anterior a la build 60.14
  • Citrix ADC and NetScaler Gateway versión 11.0 anterior a la build 72.17
  • Citrix ADC and NetScaler Gateway versión 10.5 anterior a la build 69.5

Las siguientes plataformas no se ven afectadas y no requieren la actualización del firmware:

  • MPX 5900 series
  • MPX/SDX 8900 series
  • MPX/SDX 15000-50G
  • MPX/SDX 26000-50S series
  • MPX/SDX 26000-100G series
  • MPX/SDX 26000 series
  • VPX
Descripción

Se ha identificado una vulnerabilidad en las plataformas Citrix Application Delivery Controller (ADC), formalmente conocido como NetScaler ADC, y NetScaler Gateway que podría permitir a un atacante explotar el dispositivo para descifrar el tráfico TLS.

Solución
  • Los dispositivos Citrix ADC y NetScaler Gateway que han desactivado las suites de cifrado basadas en CBC no se ven afectados por esta vulnerabilidad. Citrix también recomienda priorizar los cifrados basados en GCM.
  • Citrix recomienda que los clientes afectados apliquen la mitigación adecuada o actualicen todos sus dispositivos vulnerables (Citrix ADC y NetScaler Gateway) a una versión del firmware del dispositivo que contenga una solución para este problema lo antes posible.
Detalle
  • La aceleración de hardware utilizada por las plataformas Citrix ADC y NetScaler Gateway podría permitir a un atacante explotar el dispositivo para descifrar el tráfico TLS. Esta vulnerabilidad no permite directamente a un atacante obtener la clave privada de TLS. Se ha reservado el identificador CVE-2019-6485 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
TLS Padding Oracle Vulnerability in Citrix Application Delivery Controller (ADC) and NetScaler Gateway
Etiquetas