La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones avisa de la publicación de tres vulnerabilidades críticas de omisión de autenticación en Citrix Gateway y Citrix ADC que podrían permitir a un atacante remoto obtener acceso no autorizado al dispositivo, realizar la toma de control de escritorio remoto o eludir la protección de fuerza bruta de inicio de sesión.

Detalle 


Citrix Gateway es un servicio SSL VPN que brinda acceso remoto seguro con capacidades de administración de acceso e identidad, ampliamente implementado en servidores corporativos locales o en la nube. Citrix ADC es una solución de balanceador de carga para aplicaciones en la nube implementadas en las organizaciones.

Las tres vulnerabilidades que afectan tanto a Citrix Gateway como a Citrix ADC son las siguientes:

  • CVE-2022-27510: Omisión de autenticación de gravedad crítica mediante una ruta o canal alternativo, explotable solo si el dispositivo está configurado como VPN (puerta de enlace).
  • CVE-2022-27513: Verificación insuficiente de la autenticidad de los datos, lo que permite la toma de control de escritorio remoto a través de phishing. La vulnerabilidad es explotable sólo si el dispositivo está configurado como VPN (puerta de enlace) y la funcionalidad de proxy RDP está configurada.
  • CVE-2022-27516: Fallo en el mecanismo de protección de fuerza bruta de inicio de sesión que permite omitirlo. Esta vulnerabilidad solo puede explotarse si el dispositivo está configurado como VPN (Gateway) o servidor virtual AAA con la configuración "Max Login Attempts".

Debido a la criticidad, rogamos encarecidamente que se sea especialmente diligente en su resolución. Llamamos vuestra atención sobre la urgencia de aplicar las recomendaciones indicadas y la adopción de medidas para hacer frente a las vulnerabilidades.

Recursos Afectados


  • Citrix ADC y Citrix Gateway 13.1, versiones anteriores a 13.1-33.47
  • Citrix ADC y Citrix Gateway 13.0, versiones anteriores a 13.0-88.12
  • Citrix ADC y Citrix Gateway 12.1, versiones anteriores a 12.1.65.21
  • Citrix ADC 12.1-FIPS, versiones anteriores a 12.1-55.289
  • Citrix ADC 12.1-NDcPP, versiones anteriores a 12.1-55.289

Recomendaciones Actualizadas (09/11/2022)


La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones recomienda encarecidamente aplicar los siguientes pasos, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas:

Mitigación

1º. Solución a las vulnerabilidades:

  • Actualizar inmediatamente a la última versión disponible en cada caso:
    • Citrix ADC y Citrix Gateway 13.1-33.47 y versiones posteriores 
    • Citrix ADC y Citrix Gateway 13.0-88.12 y versiones posteriores de 13.0  
    • Citrix ADC y Citrix Gateway 12.1-65.21 y versiones posteriores de 12.1  
    • Citrix ADC 12.1-FIPS 12.1-55.289 y versiones posteriores de 12.1-FIPS  
    • Citrix ADC 12.1-NDcPP 12.1-55.289 y versiones posteriores de 12.1-NDcPP 

             *Las versiones de Citrix ADC y Citrix Gateway anteriores a la 12.1 han llegado al final de su vida útil, por lo que se recomienda que actualicen a una de las versiones compatibles. 

Referencias


                                                                                                 


En caso de haber detectado la explotación de estas vulnerabilidades :

debe reportar el incidente  mediante correo electrónico a ayudadigital.sspa@juntadeandalucia.es indicando en el  Asunto: [Compromiso Citrix0911]

Para cualquier otra duda o consulta al respecto, puede ponerse en contacto con ustic.stic.sspa@juntadeandalucia.es. 

Gracias por vuestra atención. 

Unidad de Seguridad TIC

Subdirección de Tecnologías de la Información y Comunicaciones

Servicio Andaluz de Salud