El CCN-CERT, del Centro Criptológico Nacional, informa de la publicación de un aviso de seguridad en Citrix, compañía encargada de proporcionar tecnologías de virtualización de servidores, conexión mediante red y recursos en la nube. El aviso de seguridad, registrado bajo el identificador CTX561482, corrige una serie de vulnerabilidades en los productos NetScaler ADC y Citrix Gateway.
El aviso aborda un total de 3 vulnerabilidades, siendo una de ellas calificada por parte del fabricante con severidad crítica y las dos restantes con severidad alta. Las vulnerabilidades destacadas permitirían a un atacante ejecutar código de forma remota en los sistemas afectados, así como elevar sus privilegios.
La compañía ha advertido que la vulnerabilidad crítica catalogada bajo el CVE-2023-3519, que permite ejecutar código de forma remota a usuarios no autenticados, se está explotando activamente a día de hoy. Por lo tanto, es importante actualizar los equipos afectados lo antes posible.
A continuación, se muestran los detalles técnicos conocidos a día de hoy sobre la vulnerabilidad crítica que afecta a NetScaler ADC y Citrix Gateway:
CVE-2023-3519: Vulnerabilidad que aprovecha un error en la comprobación de inyección de código que permite a atacantes no autenticados ejecutar código de forma remota en los productos vulnerables, viéndose comprometidas de esta forma la confidencialidad, integridad y disponibilidad de los sistemas afectados. La explotación exitosa requiere que el dispositivo esté configurado como Gateway.
A continuación, se muestran los detalles técnicos conocidos a día de hoy sobre las vulnerabilidades altas que afectan a NetScaler ADC y Citrix Gateway:
CVE-2023-3466: Vulnerabilidad que aprovecha un error en la validación de entrada de datos que permite realizar ataques de tipo Cross-site scripting (XSS). La explotación exitosa de esta vulnerabilidad requiere que la víctima acceda a un enlace enviado por el atacante.
CVE-2023-3467: Vulnerabilidad que aprovecha una gestión de privilegios inadecuada, permitiendo de esta forma escalar privilegios dentro del producto vulnerable, afectando a la confidencialidad, integridad y disponibilidad de los sistemas vulnerables.
Recursos afectados
NetScaler ADC y NetScaler Gateway Versión 13.0: versiones anteriores a la versión 13.0-91.13
NetScaler ADC y NetScaler Gateway Versión 13.1: versiones anteriores a la versión 13.1-49.13
NetScaler ADC Versión 12.1-NDcPP: versiones anteriores a la versión 12.1-55.297
NetScaler ADC Versión 12.1-FIPS: versiones anteriores a la versión 12.1-55.297
NetScaler ADC Versión 13.1-FIPS: versiones anteriores a la versión 13.1-37.159
Solución a las vulnerabilidades
Tras la publicación de la actualización de seguridad, Citrix ha corregido las vulnerabilidades descritas. Desde la compañía recomiendan actualizar a las siguientes versiones:
NetScaler ADC y NetScaler Gateway version 13.0: Actualizar a la versión 0-91.13 o posteriores.
NetScaler ADC y NetScaler Gateway version 13.1: Actualizar a la versión 1-49.13 o posteriores.
NetScaler ADC versión 12.1-NDcPP: Actualizar a la versión 12.1-55.297 o posteriores.
NetScaler ADC versión 12.1-FIPS: Actualizar a la versión 12.1-55.297 o posteriores.
NetScaler ADC 13.1-FIPS: Actualizar a la versión 13.1-37.159 o posteriores.
El CCN-CERT recomienda encarecidamente a los usuarios y administradores de sistemas que realicen la actualización mencionada con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.