Citrix parcha una vulnerabilidad crítica que los atacantes ya habían comenzado a explotar

Citrix has issued a patch for a vulnerability that is being exploiting in the wild. The flaw, considered
“critical” and discovered in December, allowed remote code execution and put at risk around 80.000
companies all over the world.

Citrix ha lanzado el parche para una vulnerabilidad que ya estaba siendo explotada por los
cibercriminales. La vulnerabilidad, considerada “crítica”, permite la ejecución remota de códigos.

La vulnerabilidad había sido descubierta y denunciada de forma responsable a Citrix en diciembre por
Mikhail Klyuchnikov, investigador de Positive Technologies. La falla afecta a miles de equipos con
conexión a Internet y permite que usuarios que no están autentificados puedan ingresar de forma
remota a la red de sus víctimas para ejecutar todo tipo de códigos y programas maliciosos de forma
arbitraria.

Citrix se apresuró a publicar el parche oficial, ya que la vulnerabilidad era conocida y, además de estar
siendo explotada por atacantes, los cibercriminales estaban haciendo circular un parche extra-oficial
que dejaban abierta una puerta trasera para perpetuar su acceso mientras ofrecían una falsa sensación
de seguridad. El poco tiempo que los cibercriminales tuvieron para explotar la vulnerabilidad que no
había sido parchada fue suficiente para que atacaran a cientos de usuarios.

“Urgimos a los clientes a que instalen los parches de inmediato. Existen varias cuestiones a tener en
mente al hacerlo. Estos parches son sólo para las versiones indicadas, si tienes varias versiones ADC
debes aplicar el parche correcto para cada sistema.

La vulnerabilidad, conocida como CVE-2019-19781, es path transversal y está calificada como “crítica”
con una puntuación CVSS de 9.8. Cuando se la descubrió, se calculó que ponía en riesgo a hasta 80.000
organizaciones en 159 países.

Afecta específicamente el Controlador de Entrega de la Aplicación (ADC), que antes se conocía como
NetScaler ADC. También afecta el Gateway de Citrix, antes conocido como NetScaler Gateway, y el Citrix
SD-WAN WANOP.

La compañía profundizó sobre el alcance de la vulnerabilidad en sus productos: “esta vulnerabilidad

incluye a Citrix ADC y Citrix Gateway Virtual Appliances (VPX) alojado en cualquier hipervisor Citrix
(antes XenServer), ESX, Hyper-V, KVM, Azure, AWS, GCP o en una Herramienta de Entrega de Servicio
(SDX)”.

Fuentes

As attacks begin, Citrix ships patch for VPN vulnerability Ars Technica

Citrix rolls out patches for critical ADC vulnerability exploited in the wild ZDNet

Citrix Releases Patches for Critical ADC Vulnerability Under Active Attack The Hacker News

Security