Citrix publica una nueva actualización de seguridad para sus productos

15 Noviembre 2021
Crítico
Amenaza

Citrix ha publicado una nueva actualización de seguridad para dos vulnerabilidades, una de ellas crítica que afecta a Citrix ADC, Citrix Gateway y una de riesgo  bajo.

Severidad Crítica

CVE-2021-22955
Denegación de servicio no autenticada  

Para que esta vulnerabilidad sea aprovechada por ciberactores el dispositivo debe configurarse como VPN (puerta de enlace) o servidor virtual AAA.

Productos afectados:

  • Citrix ADC y Citrix Gateway 13.0 antes de 13.0-83.27 
  • Citrix ADC y Citrix Gateway 12.1 antes de 12.1-63.22 
  • Citrix ADC y NetScaler Gateway 11.1 antes de 11.1-65.23 
  • Citrix ADC 12.1-FIPS antes de 12.1-55.257 

Severidad Baja

CVE-2021-22956
Interrupción temporal de la comunicación GUI de administración, Nitro API y RPC

Para que esta vulnerabilidad sea aprovechada por ciberactores se debe contar con Acceso a NSIP o SNIP con acceso a la interfaz de administración.

Productos afectados:

  • Citrix ADC y Citrix Gateway 13.1-4.43 y versiones posteriores 
  • Citrix ADC y Citrix Gateway 13.0-83.27 y versiones posteriores de 13.0 
  • Citrix ADC y Citrix Gateway 12.1-63.22 y versiones posteriores de 12.1 
  • Citrix ADC y NetScaler Gateway 11.1-65.23 y versiones posteriores de 11.1 
  • Citrix ADC 12.1-FIPS 12.1-55.257 y versiones posteriores de 12.1-FIPS  
  • Citrix SD-WAN WANOP Edition 11.4.2 y versiones posteriores de 11.4 
  • Citrix SD-WAN WANOP Edition 10.2.9cy versiones posteriores de 10.2 

IMPORTANTE: Este boletín sólo se aplica a los dispositivos Citrix ADC, Citrix Gateway y Citrix SD-WAN WANOP Edition administrados por el cliente. Los clientes que utilizan servicios en la nube administrados por Citrix no necesitan realizar ninguna acción. 

Mitigación

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:
Tags: #Citrix #Parche #CVE-2021-22955 #CVE-2021-22956 #Citrix ADC #Citrix Gateway
Fuentes utilizadas
https://support.citrix.com/article/CTX330728
Entel Corp.
Torre Entel,
Santiago, Chile
Enlaces Internos
Blogs de Seguridad


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.