Fecha de publicación: 19/07/2023
Nivel de peligrosidad: CRÍTICO

El CCN-CERT, del Centro Criptológico Nacional, informa de la publicación de un aviso de seguridad en Citrix, compañía encargada de proporcionar tecnologías de virtualización de servidores, conexión mediante red y recursos en la nube. El aviso de seguridad, registrado bajo el identificador CTX561482, corrige una serie de vulnerabilidades en los productos NetScaler ADC y Citrix Gateway.

El aviso aborda un total de 3 vulnerabilidades, siendo una de ellas calificada por parte del fabricante con severidad crítica y las dos restantes con severidad alta. Las vulnerabilidades destacadas permitirían a un atacante ejecutar código de forma remota en los sistemas afectados, así como elevar sus privilegios.

La compañía ha advertido que la vulnerabilidad crítica catalogada bajo el CVE-2023-3519, que permite ejecutar código de forma remota a usuarios no autenticados, se está explotando activamente a día de hoy. Por lo tanto, es importante actualizar los equipos afectados lo antes posible.

A continuación, se muestran los detalles técnicos conocidos a día de hoy sobre la vulnerabilidad crítica que afecta a NetScaler ADC y Citrix Gateway:

• CVE-2023-3519: Vulnerabilidad que aprovecha un error en la comprobación de inyección de código que permite a atacantes no autenticados ejecutar código de forma remota en los productos vulnerables, viéndose comprometidas de esta forma la confidencialidad, integridad y disponibilidad de los sistemas afectados. La explotación exitosa requiere que el dispositivo esté configurado como Gateway.

A continuación, se muestran los detalles técnicos conocidos a día de hoy sobre las vulnerabilidades altas que afectan a NetScaler ADC y Citrix Gateway:

• CVE-2023-3466: Vulnerabilidad que aprovecha un error en la validación de entrada de datos que permite realizar ataques de tipo Cross-site scripting (XSS). La explotación exitosa de esta vulnerabilidad requiere que la víctima acceda a un enlace enviado por el atacante.
• CVE-2023-3467: Vulnerabilidad que aprovecha una gestión de privilegios inadecuada, permitiendo de esta forma escalar privilegios dentro del producto vulnerable, afectando a la confidencialidad, integridad y disponibilidad de los sistemas vulnerables.

Recursos afectados

• NetScaler ADC y NetScaler Gateway Versión 13.0: versiones anteriores a la versión 13.0-91.13
• NetScaler ADC y NetScaler Gateway Versión 13.1: versiones anteriores a la versión 13.1-49.13
• NetScaler ADC Versión 12.1-NDcPP: versiones anteriores a la versión 12.1-55.297
• NetScaler ADC Versión 12.1-FIPS: versiones anteriores a la versión 12.1-55.297
• NetScaler ADC Versión 13.1-FIPS: versiones anteriores a la versión 13.1-37.159

Solución a las vulnerabilidades

Tras la publicación de la actualización de seguridad, Citrix ha corregido las vulnerabilidades descritas. Desde la compañía recomiendan actualizar a las siguientes versiones:

• NetScaler ADC y NetScaler Gateway version 13.0: Actualizar a la versión 0-91.13 o posteriores.
• NetScaler ADC y NetScaler Gateway version 13.1: Actualizar a la versión 1-49.13 o posteriores.
• NetScaler ADC versión 12.1-NDcPP: Actualizar a la versión 12.1-55.297 o posteriores.
• NetScaler ADC versión 12.1-FIPS: Actualizar a la versión 12.1-55.297 o posteriores.
• NetScaler ADC 13.1-FIPS: Actualizar a la versión 13.1-37.159 o posteriores.

El CCN-CERT recomienda encarecidamente a los usuarios y administradores de sistemas que realicen la actualización mencionada con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Referencias:

• https://support.citrix.com/article/CTX561482/citrix-adc-and-citrix-gateway-security-bulletin-for-cve20233519-cve20233466-cve20233467