Citrix reveló un error grave en Citrix Application Delivery Controller (ADC), que es utilizado por más de 80 mil organizaciones, y hasta ahora, no existe parche disponible.
Según Citrix, el error podría permitir a un atacante realizar una ejecución de código arbitrario aún sin la autenticación adecuada.
Los administradores también pueden conocer el producto afectado como NetScaler ADC, Citrix Gateway o NetScaler Gateway. La vulnerabilidad fue etiquetada como CVE-2019-19781.
Debido a las celebraciones navideñas, la divulgación de Citrix podría darse en un mal momento para los administradores de TI empresariales que se encargan de administrar equipos con tecnología Citrix, que se utilizan ampliamente en redes empresariales en Estados Unidos, Reino Unido y Australia.
Desafortunadamente para los clientes, la compañía de virtualización de Estados Unidos no tienen un parche, pero cuentan con una mitigación recomendada que se puede implementar hasta que llegue una solución de firmware.
«Citrix recomienda encarecidamente a los clientes afectados que apliquen de inmediato la mitigación proporcionada. Los clientes deben actualizar todos sus dispositivos vulnerables a una versión fija del firmware del dispositivo cuando se lance», dijo Citrix en un aviso.
También se pide a los administradores que se suscriban a las alertas de boletín para saber cuándo estará listo el nuevo firmware. Las instrucciones de mitigación de Citrix están disponibles aquí.
El error fue reportado por Mikhail Klyuchnikov, investigador de la firma de seguridad del Reino Unido, Positive Technologies, que publicó su informe de error el lunes.
Kyluchnikov afirma que la vulnerabilidad afecta a 80 mil empresas en 158 países y podría permitir que un atacante remota comprometa una red interna en un minuto.
«Si se explota esa vulnerabilidad, los atacantes obtienen acceso directo a la red local de la compañía desde Internet. Este ataque no requiere acceso a ninguna cuenta y, por lo tanto, puede ser realizado por cualquier atacante externo», dijo Positive Technologies.
Citrix no ha asignado el error con un puntaje de severidad, pero Positive Technologies reconoce que garantiza una calificación de severidad de 10 sobre 10.
«esta vulnerabilidad afecta a todas las versiones compatibles del producto y a todas las plataformas compatibles, incluidas Citrix ADC y Citrix Gateway 13.0, Citrix ADC y NetScaler Gateway 12.1, Citrix ADC y NetScaler Gateway 12.0, Citrix ADC y NetScaler Gateway 11.1 y Citrix NetScaler ADC y NetScaler Gateway 10.5», dice la compañía de seguridad.
