Actualización de seguridad para productos de Citrix

15 Junio 2021
Crítico

La compañía de tecnología Citrix ha publicado avisos de seguridad identificando varias vulnerabilidad que afectan a algunos de sus productos como Citrix ShareFile, Citrix Hypervisor y Citrix Cloud Connector.

Severidad Crítica

CVE-2021-22891 Controlador de zonas de almacenamiento ShareFile

Se ha identificado un problema de seguridad en el controlador de zonas de almacenamiento Citrix ShareFile que, si se explota, permitiría que un atacante no autenticado pusiera en peligro de forma remota el controlador de zonas de almacenamiento. 

Severidad Media 

CVE-2021-27379, CVE-2021-28692 Citrix Hypervisor

Existen dos fallas y cada una puede permitir que el código privilegiado en una máquina virtual invitada haga que el host se bloquee o deje de responder. Estos dos problemas solo afectan a los sistemas en los que la máquina virtual invitada malintencionada tiene un dispositivo PCI físico transmitido por el administrador del host.

La máquina virtual invitada malintencionada debe tener un dispositivo PCI físico transmitido por el administrador del host y el atacante debe poder ejecutar código privilegiado.

Aunque no es un problema en el producto Citrix Hypervisor en sí, Citrix está lanzando revisiones que también abordan dos problemas de la CPU subyacente. Identificado con los siguientes identificadores: CVE-2021-0089 (CPU Intel) / CVE-2021-26313 (CPU AMD).

CVE-2021-22914 vulnerabilidad en Citrix Cloud Connector

Se ha identificado una vulnerabilidad que puede provocar que se almacene información confidencial en los archivos de registro de instalación de Citrix Cloud Connector que, si se explota, podría permitir el acceso al entorno Citrix Cloud de un cliente.

El problema no afecta a Citrix Cloud Connector si se instaló con el instalador interactivo o cuando se usó un archivo de parámetros con el instalador de línea de comandos.

Se recomienda a los clientes afectados que eliminen cualquier Cliente seguro de su portal Citrix Cloud que se haya utilizado anteriormente para la instalación de la línea de comandos.

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #Citrix #Parche #CVE-2021-22891 #CVE-2021-27379 #CVE-2021-28692 #CVE-2021-22914


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.