Citrix ha lanzado actualizaciones de seguridad para abordar una falla crítica de omisión de autenticación en el controlador de entrega de aplicaciones (ADC) y Gateway que podría explotarse para tomar el control de los sistemas afectados.
La explotación exitosa de los problemas podría permitir que un adversario obtenga acceso autorizado, realice la toma de control de escritorio remoto e incluso eluda las defensas contra los intentos de inicio de sesión de fuerza bruta bajo configuraciones específicas.
- CVE-2022-27510 – Acceso no autorizado a las capacidades del usuario de Gateway
- CVE-2022-27513 – Adquisición de escritorio remoto a través de phishing
- CVE-2022-27516 – Omisión de la funcionalidad de protección de fuerza bruta de inicio de sesión de usuario
Las siguientes versiones compatibles de Citrix ADC y Citrix Gateway se ven afectadas por las fallas:
- Citrix ADC y Citrix Gateway 13.1 antes de 13.1-33.47
- Citrix ADC y Citrix Gateway 13.0 anteriores a 13.0-88.12
- Citrix ADC y Citrix Gateway 12.1 antes de 12.1.65.21
- Citrix ADC 12.1-FIPS antes de 12.1-55.289
- Citrix ADC 12.1-NDcPP anterior a 12.1-55.289
La explotación, sin embargo, se basa en el requisito previo de que los dispositivos estén configurados como una VPN (Gateway) o, alternativamente, una autenticación, autorización y contabilidad (AAA) servidor virtual en el caso de CVE-2022-27516.
Además de eso, CVE-2022-27513 y CVE-2022-27516 también se aplican solo cuando la función de proxy RDP y la función de bloqueo de usuario «Max Login Attempts» están configuradas, respectivamente.
La compañía de tecnología de virtualización y computación en la nube dijo que no se requiere ninguna acción por parte de los clientes que confían en los servicios en la nube administrados directamente por Citrix.
A Jarosław Jahrek Kamiński, investigador de la firma polaca de pruebas de penetración Securitum, se le atribuye el descubrimiento y el informe de las vulnerabilidades.
«Se recomienda a los clientes afectados de Citrix ADC y Citrix Gateway que instalen las versiones actualizadas relevantes de Citrix ADC o Citrix Gateway lo antes posible», dijo Citrix en un aviso.