La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones avisa de la publicación de tres vulnerabilidades críticas de omisión de autenticación en Citrix Gateway y Citrix ADC que podrían permitir a un atacante remoto obtener acceso no autorizado al dispositivo, realizar la toma de control de escritorio remoto o eludir la protección de fuerza bruta de inicio de sesión.

Detalle 


Citrix Gateway es un servicio SSL VPN que brinda acceso remoto seguro con capacidades de administración de acceso e identidad, ampliamente implementado en servidores corporativos locales o en la nube. Citrix ADC es una solución de balanceador de carga para aplicaciones en la nube implementadas en las organizaciones.

Las tres vulnerabilidades que afectan tanto a Citrix Gateway como a Citrix ADC son las siguientes:

Debido a la criticidad, rogamos encarecidamente que se sea especialmente diligente en su resolución. Llamamos vuestra atención sobre la urgencia de aplicar las recomendaciones indicadas y la adopción de medidas para hacer frente a las vulnerabilidades.

Recursos Afectados


Recomendaciones Actualizadas (09/11/2022)


La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones recomienda encarecidamente aplicar los siguientes pasos, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas:

Mitigación

1º. Solución a las vulnerabilidades:

             *Las versiones de Citrix ADC y Citrix Gateway anteriores a la 12.1 han llegado al final de su vida útil, por lo que se recomienda que actualicen a una de las versiones compatibles. 

Referencias


                                                                                                 


En caso de haber detectado la explotación de estas vulnerabilidades :

debe reportar el incidente  mediante correo electrónico a ayudadigital.sspa@juntadeandalucia.es indicando en el  Asunto: [Compromiso Citrix0911]

Para cualquier otra duda o consulta al respecto, puede ponerse en contacto con ustic.stic.sspa@juntadeandalucia.es. 

Gracias por vuestra atención. 

Unidad de Seguridad TIC

Subdirección de Tecnologías de la Información y Comunicaciones

Servicio Andaluz de Salud