Citrix libera parches para vulnerabilidad crítica de Citrix ADC

El pasado 17 de Diciembre Citrix anunció una vulnerabilidad y mitigaciones vinculadas a su producto Citrix Application Delivery Controller (ADC). Los detalles se hicieron públicos en el CVE-2019-19781.

Seguida esa acción, Citrix publicó una serie de actualizaciones, las que fueron publicadas por la compañía el pasado viernes 17 de enero de 2020.

Según lo informado por la compañía, la vulnerabilidad también afecta a las versiones anteriores de productos Citrix SD-WAN WANOP, versiones 10.2.6 y versión 11.0.3. El resto de las versiones de SD-WAN no se vieron afectados. Estas versiones de Citrix SD-WAN WANOP incluyen Citrix como balanceador de carga. En consecuencia, de no ser mitigadas estas versiones, el producto es vulnerable.

Otro descubrimiento realizado por la entidad fue atendiendo comentarios de sus clientes, quienes señalaron que la mitigación estaba fallando en una compilación específica del ADC. En Citrix ADC y Citrix Gateway Release 12.1 compilación 50.28, existe un problema que afecta a las políticas de respuesta y reescritura, lo que impide el procesamiento de paquetes que coinciden con las reglas de la política.

Para este caso la compañía recomendó a sus clientes actualizar a la versión 12.1 compilación 50.28/50.31 o posterior, para que los pasos de mitigación funciones según lo previsto. Alternativamente, se pueden aplicar mitigaciones siguiendo los pasos de la siguiente interface CTX267679. Esto mitigará los ataques, no solo en la interfaz de administración, sino en TODAS las interfaces, incluidas las IP virtuales Gateway y AAA.

La compañía señaló que tanto sus pruebas como los aportes de los clientes fueron exitosas. Citrix también lamentó todo lo ocurrido y actualizó el CVE-2019-19781 para reflejar toda la información acumulada.

Por último, la compañía señaló en su blog, escrito por Fermin J. Serna, Chief Information Security Officer de Citrix, que “creemos que un número limitado de dispositivos son explotables a través de la IP de administración, pero podrían verse directamente afectados si la IP virtual es un vector de ataque”, además de comprometerse a monitorear los comentarios sobre las mitigaciones y vulnerabilidades que no involucren el método transversal del directorio.

 

Fuentes:

https://www.us-cert.gov/ncas/current-activity/2020/01/17/citrix-adds-sd-wan-wanop-updated-mitigations-cve-2019-19781

https://www.citrix.com/blogs/2020/01/17/citrix-updates-on-citrix-adc-citrix-gateway-vulnerability/

https://support.citrix.com/article/CTX267679