Especialistas en seguridad de aplicaciones web reportan la presencia de una grave falla de seguridad en Citrix NetSclaer/ADC que, de ser explotada, podría permitir a un hacker no autenticado realizar ejecución de código arbitrario en el sistema objetivo.
Los detalles revelados hasta este momento por Citrix aún son mínimos, aunque múltiples firmas de seguridad de aplicaciones web mencionan la identificación de al menos tres componentes expuestos a la explotación de esta falla; la combinación de los tres elementos vulnerables permite ataques de ejecución de código en el dispositivo NetScaler/ADC objetivo.
Las vulnerabilidades permiten a los actores de amenazas esquivar una capa de seguridad (o restricción de autorización) para la creación de un archivo con contenido controlado por el usuario, que posteriormente será procesado mediante un lenguaje de script del lado del servidor. Es posible que existan otras formas de realizar la ejecución del código arbitrario, por lo que se recomienda a los administradores de sistemas permanecer alertas ante nuevos reportes.
Todas las versiones de productos compatibles de Citrix ADC (anteriormente NetScaler) y Citrix Gateway se ven afectadas, reportan los expertos en seguridad de aplicaciones web. Un atacante con acceso a la interfaz web del sistema afectado podría explotar la falla para tomar control del sistema, acceder a los recursos de red privada y realizar muchas otras tareas maliciosas secuestrando sesiones de usuario autenticadas o robando las credenciales de inicio de sesión de un usuario.
La compañía recomienda a sus usuarios la implementación de una política de respuesta específica para filtrar los posibles intentos de explotación. Además, los especialistas del Instituto Internacional de Seguridad Cibernética (IICS) recomiendan a los administradores de sistemas aplicar las mitigaciones necesarias para reducir el riesgo de explotación mientras las actualizaciones de seguridad emitidas por la compañía están disponibles.
Tripwire IP360 que comienza con ASPL-865 contiene detección heurística remota del servicio vulnerable. Los intentos externos para explotar esta falla probablemente incluirán solicitudes HTTP con ‘/../’ y ‘/vpns/’ en la URL. Esto se indicó en los pasos de mitigación sugeridos por Citrix. Los administradores también deben estar atentos a las solicitudes con encabezados personalizados que contengan patrones de recorrido (por ejemplo, ‘/../’).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
