La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones avisa de la publicación de tres vulnerabilidades críticas de omisión de autenticación en Citrix Gateway y Citrix ADC que podrían permitir a un atacante remoto obtener acceso no autorizado al dispositivo, realizar la toma de control de escritorio remoto o eludir la protección de fuerza bruta de inicio de sesión.
Detalle
Citrix Gateway es un servicio SSL VPN que brinda acceso remoto seguro con capacidades de administración de acceso e identidad, ampliamente implementado en servidores corporativos locales o en la nube. Citrix ADC es una solución de balanceador de carga para aplicaciones en la nube implementadas en las organizaciones.
Las tres vulnerabilidades que afectan tanto a Citrix Gateway como a Citrix ADC son las siguientes:
- CVE-2022-27510: Omisión de autenticación de gravedad crítica mediante una ruta o canal alternativo, explotable solo si el dispositivo está configurado como VPN (puerta de enlace).
- CVE-2022-27513: Verificación insuficiente de la autenticidad de los datos, lo que permite la toma de control de escritorio remoto a través de phishing. La vulnerabilidad es explotable sólo si el dispositivo está configurado como VPN (puerta de enlace) y la funcionalidad de proxy RDP está configurada.
- CVE-2022-27516: Fallo en el mecanismo de protección de fuerza bruta de inicio de sesión que permite omitirlo. Esta vulnerabilidad solo puede explotarse si el dispositivo está configurado como VPN (Gateway) o servidor virtual AAA con la configuración "Max Login Attempts".
Debido a la criticidad, rogamos encarecidamente que se sea especialmente diligente en su resolución. Llamamos vuestra atención sobre la urgencia de aplicar las recomendaciones indicadas y la adopción de medidas para hacer frente a las vulnerabilidades.
Recursos Afectados
- Citrix ADC y Citrix Gateway 13.1, versiones anteriores a 13.1-33.47
- Citrix ADC y Citrix Gateway 13.0, versiones anteriores a 13.0-88.12
- Citrix ADC y Citrix Gateway 12.1, versiones anteriores a 12.1.65.21
- Citrix ADC 12.1-FIPS, versiones anteriores a 12.1-55.289
- Citrix ADC 12.1-NDcPP, versiones anteriores a 12.1-55.289
Recomendaciones Actualizadas (09/11/2022)
La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones recomienda encarecidamente aplicar los siguientes pasos, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas:
Mitigación
1º. Solución a las vulnerabilidades:
- Actualizar inmediatamente a la última versión disponible en cada caso:
- Citrix ADC y Citrix Gateway 13.1-33.47 y versiones posteriores
- Citrix ADC y Citrix Gateway 13.0-88.12 y versiones posteriores de 13.0
- Citrix ADC y Citrix Gateway 12.1-65.21 y versiones posteriores de 12.1
- Citrix ADC 12.1-FIPS 12.1-55.289 y versiones posteriores de 12.1-FIPS
- Citrix ADC 12.1-NDcPP 12.1-55.289 y versiones posteriores de 12.1-NDcPP
*Las versiones de Citrix ADC y Citrix Gateway anteriores a la 12.1 han llegado al final de su vida útil, por lo que se recomienda que actualicen a una de las versiones compatibles.
Referencias
- Citrix Gateway and Citrix ADC Security Bulletin for CVE-2022-27510 CVE-2022-27513 and CVE-2022-27516
En caso de haber detectado la explotación de estas vulnerabilidades :
debe reportar el incidente mediante correo electrónico a ayudadigital.sspa@juntadeandalucia.es indicando en el Asunto: [Compromiso Citrix0911]
Para cualquier otra duda o consulta al respecto, puede ponerse en contacto con ustic.stic.sspa@juntadeandalucia.es.
Gracias por vuestra atención.
Unidad de Seguridad TIC
Subdirección de Tecnologías de la Información y Comunicaciones
Servicio Andaluz de Salud
La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones avisa de la publicación de dos vulnerabilidades de severidad alta en OpenSSL que podrían permitir a un atacante causar una condición de denegación de servicio o realizar una ejecución remota de código.
Detalle
OpenSSL es una biblioteca de criptografía de código abierto ampliamente utilizada por aplicaciones, sistemas operativos y sitios web para asegurar las comunicaciones a través de Internet utilizando SSL (Secure Sockets Layer) y TLS (Transport Layer Security).
Los investigadores, Polar Bear y Viktor Dukhovni, han reportado 2 vulnerabilidades de severidad alta que afectan a esta biblioteca que podrían permitir a un atacante causar una condición de denegación de servicio o realizar una ejecución remota de código.
Los dos fallos de seguridad publicados se producen al realizar la comprobación de restricciones de nombres durante la verificación de certificados X.509, ya que se podría producir un desbordamiento de búfer. Un atacante podría crear una dirección de correo electrónico maliciosa para desbordar 4 bytes controlados en la pila (CVE-2022-3602) o para desbordar un número arbitrario de bytes que contengan el carácter '.' correspondiente al valor 46 en decimal (CVE-2022-3786).
Ambas vulnerabilidades podrían producirse en un cliente TLS al conectarse a un servidor malicioso. En un servidor TLS, podrían desencadenarse si el servidor solicita la autenticación del cliente, y se conecta un cliente malicioso.
Recursos Afectados
Las versiones 3.0.0 y superiores de OpenSSL son vulnerables. La mayoría de las implementaciones de OpenSSL que se utilizan hoy en día emplean la versión 1.1.1 o 1.0.2; sin embargo, OpenSSL 3 se incluye en muchas versiones de Linux, como RedHat, Fedora, CentOS, Linux Mint y otras.
Los contenedores Docker suelen incluir alguna versión de OpenSSL, pero qué versión y si es vulnerable dependerá de la configuración original. La biblioteca también puede instalarse opcionalmente en dispositivos macOS y Windows, aunque por defecto los Macs ejecutan la biblioteca LibreSSL, que no está afectada. Las versiones vulnerables de OpenSSL también se utilizan en software de desarrollo popular como Gradle, herramientas de privacidad como TOR y plataformas de seguridad como Kali Linux.
El NCSC-NL (Centro Nacional de Ciberseguirdad holandés) ha publicado un listado con información sobre las versiones incluidas por varios fabricantes.
Vulnerable
- OpenSSL 3.0.0 hasta 3.0.6
No vulnerable
- OpenSSL 1.1.1
- OpenSSL 1.1.0
- OpenSSL 1.0.2
- OpenSSL 1.0.1
- LibreSSL
Recomendaciones Actualizadas (07/11/2022)
La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones recomienda encarecidamente aplicar los siguientes pasos, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas:
Mitigación
1º. Solución a las vulnerabilidades:
Actualizar inmediatamente OpenSSL en sistemas o en aplicaciones a la versión 3.0.7.
Referencias
- CVE-2022-3786 and CVE-2022-3602: X.509 Email Address Buffer Overflows
- 509 Email Address 4-byte Buffer Overflow (CVE-2022-3602)
- Overview of software (un)affected by vulnerability
- OpenSSL Releases Security Update
- OpenSSL 3.0.0 to 3.0.6 decodes some punycode email addresses in X.509 certificates improperly
En caso de haber detectado la explotación de estas vulnerabilidades :
debe reportar el incidente mediante correo electrónico a ayudadigital.sspa@juntadeandalucia.es indicando en el Asunto: [Compromiso OpenSSL0711]
Para cualquier otra duda o consulta al respecto, puede ponerse en contacto con ustic.stic.sspa@juntadeandalucia.es.
Gracias por vuestra atención.
Unidad de Seguridad TIC
Subdirección de Tecnologías de la Información y Comunicaciones
Servicio Andaluz de Salud
La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones avisa de la publicación de una vulnerabilidad crítica de inyección de comandos en productos Aruba.
Detalle
Se han identificado 16 vulnerabilidades, una de ellas de severidad crítica, que afectan a productos Aruba (subsidiaria de HP), cuya explotación podría permitir a un atacante inyectar código, ejecutar código arbitrario de forma remota, modificar la secuencia de arranque, eliminar archivos arbitrarios, causar una condición de denegación de servicio, divulgar información sensible, desbordar el búfer o lectura de archivos arbitrarios.
Para la vulnerabilidad catalogada como crítica, se le ha asignado el identificador CVE-2022-37897, con una puntuación de CVSSv3: 9,8. Podría conducir a la ejecución de código remoto no autenticado mediante el envío de paquetes especialmente diseñados destinados al puerto UDP (8211) de PAPI (protocolo de gestión de AP de Aruba Networks). La explotación exitosa de esta vulnerabilidad podría resultar en la capacidad de ejecutar código arbitrario como un usuario privilegiado en el sistema operativo subyacente.
Recursos Afectados
- Aruba Mobility Conductor (conocido anteriormente como Mobility Master).
- Aruba Mobility Controllers.
- WLAN Gateways y SD-WAN Gateways gestionados por Aruba Central.
- ArubaOS, versiones:
- 5.4.22 y anteriores;
- 6.0.17 y anteriores;
- 7.1.9 y anteriores;
- 3.0.0.
- SD-WAN, versiones desde 8.7.0.0 hasta 2.3.0.6 y anteriores.
- Todas las versiones de los productos EOL:
- ArubaOS 8.4.x.x;
- ArubaOS 8.5.x.x;
- ArubaOS 8.8.x.x;
- ArubaOS 8.9.x.x;
- SD-WAN 8.5.0.0-2.1.x.x;
- SD-WAN 8.6.0.4-2.2.x.x.
Recomendaciones Actualizadas (04/11/2022)
La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones recomienda encarecidamente aplicar los siguientes pasos, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas:
Mitigación
1º. Solución a las vulnerabilidades:
Actualizar los productos afectados a las versiones:
- ArubaOS 6.5.4.23 y superiores;
- ArubaOS 8.6.0.18 y superiores;
- ArubaOS 8.7.1.10 y superiores;
- ArubaOS 8.10.0.0 y superiores;
- ArubaOS 10.3.0.1 y superiores;
- SD-WAN 8.7.0.0-2.3.0.7 y superiores.
Referencias
- Aviso Oficial Aruba: Document - HPESBNW04381 rev.1 - Aruba SD-WAN Software and Gateways, Multiple Vulnerabilities | HPE Support
- ARUBA-PSA-2022-016
En caso de haber detectado la explotación de estas vulnerabilidades :
debe reportar el incidente mediante correo electrónico a ayudadigital.sspa@juntadeandalucia.es indicando en el Asunto: [Compromiso Aruba0411]
Para cualquier otra duda o consulta al respecto, puede ponerse en contacto con ustic.stic.sspa@juntadeandalucia.es.
Gracias por vuestra atención.
Unidad de Seguridad TIC
Subdirección de Tecnologías de la Información y Comunicaciones
Servicio Andaluz de Salud