Citrix opfordrer til opdatering

Kritiske sårbarheder i Citrix ADC og Citrix Gateway.

Citrix opfordrer sine kunder til at installere sikkerhedsopdateringer for kritiske sårbarheder, der bl.a. vedrører omgåelse af autentificering i Citrix ADC og Citrix Gateway.

Det skriver Bleeping Computer på baggrund af en sikkerhedsbulletin fra Citrix. Bulletinen omtaler tre sårbarheder med hver sit CVE-nummer, der under ’specifikke konfigurationer’ kan gøre det muligt for angribere at få uautoriseret adgang til en enhed, gennemføre overtagelse af fjernskrivebord eller omgå brute force-beskyttelsen på login.

De tre sårbarheder, der påvirker både Citrix ADC og Citrix Gateway, er:

  • CVE-2022-27510: Omgåelse af autentificering ved hjælp af en alternativ sti eller kanal, der kun kan udnyttes, hvis apparatet er konfigureret som VPN (Gateway). Score 9,8.
  • CVE-2022-27513: Utilstrækkelig verifikation af ægthed af data. Det muliggør overtagelse af fjernskrivebord via phishing. Fejlen kan kun udnyttes, hvis apparatet er konfigureret som VPN (Gateway), og RDP-proxyfunktionaliteten er konfigureret. Score 8,3.
  • CVE-2022-27516: Login-fejl i beskyttelse mod brute force. Fejlen muliggør omgåelse af beskyttelsen. Denne sårbarhed kan kun udnyttes, hvis apparatet er konfigureret som VPN (Gateway) eller AAA virtuel server med konfigurationen "Max Login Attempts". Score 5,3.

Citrix Gateway er en SSL VPN-tjeneste, der giver sikker fjernadgang med funktioner til identitets- og adgangsstyring, mens Citrix ADC er en løsning til cloud-applikationer, der sikrer tilgængelighed og optimal ydeevne.

Begge produkter bruges ifølge Bleeping Computer i vid udstrækning af organisationer verden over, og de tre fejl påvirker nuværende og tidligere versioner, der aktivt understøttes af leverandøren.

Citrix anbefaler brugere med Citrix ADC- og Citrix Gateway-løsningerne at installere de relevante opdaterede versioner så hurtigt som muligt.

Fejlene påvirker følgende produktversioner:

  • Citrix ADC og Citrix Gateway 13.1 før 13.1-33.47
  • Citrix ADC og Citrix Gateway 13.0 før 13.0-88.12
  • Citrix ADC og Citrix Gateway 12.1 før 12.1.65.21
  • Citrix ADC 12.1-FIPS før 12.1-55.289
  • Citrix ADC 12.1-NDcPP før 12.1-55.289

Bleeping Computer skriver, at hvis man selv administrerer Citrix-apparater, bør man opgradere til den seneste tilgængelige version så hurtigt som muligt, mens brugere af Citrix til cloud-baserede administrationstjenester ikke behøver at foretage sig noget, da leverandøren allerede har implementeret sikkerhedsopdateringerne.

Der er ikke lavet opdateringer til produktversioner før 12.1, der har nået end-of-life, hvorfor Citrix anbefaler brugere af forældede produkter til at opgradere til en understøttet udgivelse.

Links:

https://www.bleepingcomputer.com/news/security/citrix-urges-admins-to-patch-critical-adc-gateway-auth-bypass/
https://support.citrix.com/article/CTX463706/citrix-gateway-and-citrix-adc-security-bulletin-for-cve202227510-cve202227513-and-cve202227516
https://securityaffairs.co/wordpress/138264/security/citrix-gateway-adc-flaws.html