Citrix anunció el lanzamiento de parches de seguridad para múltiples vulnerabilidades presentes en algunos de sus productos, incluido un problema severo en SD-WAN. Identificada como CVE-2022-27505, esta falla fue descrita como un error de scripts entre sitios (XSS) reflejada que existe debido a que la entrada no se neutraliza adecuadamente durante la generación de la página web.
Estas fallas también fueron divulgadas a través de la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA), cuyo mensaje señala que la explotación exitosa permitiría a los actores de amenazas tomar control de los sistemas afectados.
Citrix SD-WAN es una solución para la entrega optimizada de aplicaciones en una WAN segura, garantizando un acceso seguro a las aplicaciones. El reporte señala que las ediciones estándar y Premium de los dispositivos SD-WAB anteriores a v11.4.3a se ven vulnerables a esta falla.
Esta actualización también abordará CVE-2022-27506, un error de seguridad de baja gravedad que habría permitido a los usuarios administrativos emplear credenciales codificadas para acceder al shell a través de SD-WAN CLI.
Poco antes, la compañía también corrigió un error XSS en StoreFront identificado como CVE-2022-27503, y una falla de corrupción o eliminación arbitraria de archivos en Gateway Plug-in identificada como CVE-2022-21827.
Finalmente, Citrix abordó tres vulnerabilidades en Endpoint Management (XenMobile Server). Identificadas como CVE-2021-44519, CVE-2021-44520 y CVE-2022-26151, su explotación exitosa permitiría a los actores de amenazas obtener acceso no autorizado al sistema operativo subyacente.
Citrix recomienda a los usuarios de implementaciones afectadas actualizar a la más reciente versión de sus productos. Es posible encontrar una versión corregida de Gateway Plug-in para Windows en las últimas versiones de Citrix ADC y Gateway.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.