Resumen Ejecutivo
■ Contexto: El día hoy, la empresa estadounidense de tecnología, Citrix, ha lanzado un comunicado y una nueva ronda de actualizaciones de seguridad para corregir una nueva vulnerabilidad crítica que permitiría la ejecución remota de código sin la necesidad de estar autenticado, en los sistemas de Citrix Application Delivery Controller (ADC) y Citrix Gateway. Además, que la Agencia Nacional de Seguridad de los Estados Unidos, NSA, ha lanzado un comunicado advirtiendo que un grupo APT patrocinado por el estado de China (APT5 – UNC2630 – MANGANESE) estaría llevando a cabo una masiva campaña de explotación de dicha vulnerabilidad.
■ Descripción: La vulnerabilidad rastreada como CVE-2022-27518, que afecta los productos de Citrix ADC y Citrix Gateway, permite a un atacante no autenticado ejecutar código de forma remota (RCE) en dispositivos vulnerables y tomar el control sobre ellos.
La compañía también enumera una condición previa para la explotación: solo Citrix ADC y Citrix Gateways que están configurados como SAML SP (proveedor de servicios) o SAML IdP (proveedor de identidad) están en riesgo y deben actualizarse a toda prisa.
■ Lista de Productos Vulnerables:
- Citrix ADC y Citrix Gateway 13.0 antes de 13.0-58.32
- Citrix ADC y Citrix Gateway 12.1 antes de 12.1-65.25
- Citrix ADC 12.1-FIPS antes de 12.1-55.291
- Citrix ADC 12.1-NDcPP antes de 12.1-55.291
■ Puntuación CVSS: Desconocido. [Por ahora]
■ Mitigación: Citrix alerta a todos sus clientes en actualizar los productos vulnerables a la versión 12.1 (incluidas las variantes FIPS y NDcPP) o a la versión 13.0 (13.0-88.16). Y como alternativa, los clientes pueden actualizar a la versión 13.1, que no se vea afectada.
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
