Miles de implementaciones de Citrix ADC y Gateway siguen siendo vulnerables a dos problemas de seguridad de gravedad crítica que el proveedor ha estado solucionando en los últimos meses.

El primero de los fallos se ha registrado como CVE-2022-27510, y que Citrix solucionó el pasado 8 de noviembre. Se trata de una omisión de autenticación que afecta a ambos productos de Citrix, tanto a ADC como a Gateway. Un atacante podría explotarlo para obtener acceso no autorizado al dispositivo, tomar el control de un escritorio remoto o eludir la protección de fuerza bruta de inicio de sesión.

El segundo de los fallos es el CVE-2022-27518, parcheado el pasado13 de diciembre. Se trata de una brecha que permite a los atacantes no autenticados ejecutar comandos remotos en dispositivos vulnerables y tomar el control de ellos.

Los actores de amenazas ya habían estado explotando CVE-2022-27518 cuando Citrix publicó una actualización de seguridad para solucionarlo.

Sin embargo, investigadores del equipo de TI de Fox de NCC Group han apuntado que, si bien la mayoría de los endpoints de Citrix se han actualizado a una versión segura, persisten miles siguen siendo vulnerables a ciberataques.

Las versiones de servidores Citrix afectadas

Los analistas de TI de Fox escanearon la web el pasado 11 de noviembre y encontraron un total de 28.000 servidores Citrix online.

Para determinar cuántos podían ser vulnerables a estos dos fallos, tuvieron que descargar e implementar todas las versiones de Citrix ADC que pudieron obtener de Citrix, Google Cloud Marketplace, AWS y Azure en máquinas virtuales y combinaron hashes con versiones.

Los resultados finales pusieron de manifiesto que, desde el 28 de diciembre de 2022, la versión más popular es la 13.0-88.14, y no se ve afectada por ninguno de estos problemas de seguridad. La segunda versión más extendida es la 12.1-65.21, vulnerable a CVE-2022-27518 si se cumplen ciertas condiciones, y que se ejecuta en 3.500 endpoints.

Los requisitos para que estas máquinas sean explotables exigen el uso de configuraciones SAML SP o IdP, lo que significa que no todos los 3.500 sistemas son realmente vulnerables a CVE-2022-27518.

Sin embargo, hay más de 1.000 servidores vulnerables a CVE-2022-27510, y aproximadamente 3.000 endpoints potencialmente vulnerables a ambos errores críticos.

En cuanto a la velocidad de parcheo, Estados Unidos, Alemania, Canadá, Australia y Suiza respondieron rápidamente a la publicación de los avisos de seguridad. No obstante, las organizaciones deberán agilizar sus actualizaciones de seguridad para solventar estos fallos y cerrar todas las brechas de seguridad.

 

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre