Gravedad: Crítica
Fecha de publicación: 14 enero 2020
Fecha de modificación: 14 enero 2020
Última revisión: Revisión A.
Fuente: Citrix Blog
Sistemas Afectados
• Citrix ADC y Citrix Gateway versión 13.0.
• Citrix ADC y NetScaler Gateway versión 10.5, 11.1, 12.0 y 12.1.
I. Descripción
La empresa Citrix anunció a sus clientes a mediados de diciembre de 2019 que los productos Citrix Application Delivery Controller y Citrix Gateway, conocidos anteriormente como NetScaler ADC y NetScaler Gateway, son vulnerables a la ejecución de código arbitrario, esta vulnerabilidad está identificada con el código CVE-2019-19781. Un atacante remoto sin autenticación podría tomar ventaja de la vulnerabilidad mediante una petición especialmente diseñada que permitiría ejecutar código arbitrario en el producto objetivo.
Citrix está realizando pruebas en el desarrollo de una solución permanente para cada versión vulnerable de sus productos, las cuales estará publicando a finales de enero de 2020 de la siguiente manera:
Versiones 11.1 y 12.0 tendrán parche permanente disponible el 20 de enero de 2020.
Versiones 12.1 y 13.0 tendrán parche permanente disponible el 27 de enero de 2020.
Versiones 10.5 tendrán parche permanente disponible el 31 de enero de 2020.
Mientras se espera la publicación del parche permanente, Citrix ha publicado en https://support.citrix.com/article/CTX267679 detalles para la mitigación de este error.
Para mayor información, referirse a la “sección III. Referencia a soluciones, herramientas e información”.
II. Impacto
Complejidad de Acceso: Media.
Autenticación: No requerida para explotarla.
Tipo de impacto: Compromiso parcial o total del sistema.
III. Referencia a soluciones, herramientas e información
a. https://www.citrix.com/blogs/2020/01/11/citrix-provides-update-on-citrix-adc-citrix-gateway-vulnerability/
b. https://support.citrix.com/article/CTX267679
c. https://support.citrix.com/article/CTX267027
IV. Información de contacto
CSIRT PANAMA
Autoridad Nacional para la Innovación Gubernamental
E-mail: info@cert.pa
Web: http://www.cert.pa