Citrix ha publicado un boletín de seguridad donde se reporta que han descubierto vulnerabilidades en Citrix Gateway y Citrix ADC con los identificadores CVE-2022-27510, CVE-2022-27513 y CVE-2022-27516, siendo la primera de ellas de severidad crítica con un CVSS de 9.8.
Recursos afectados:
- Citrix ADC y Citrix Gateway 13.1 anterior a la versión 13.1-33.47
- Citrix ADC y Citrix Gateway 13.0 anterior a la versión 13.0-88.12
- Citrix ADC y Citrix Gateway 12.1 anterior a la version 12.1.65.21
- Citrix ADC 12.1-FIPS anterior a la version 12.1-55.289
- Citrix ADC 12.1-NDcPP anterior a la versión 12.1-55.289
Solución:
Para la mitigación de estas vulnerabilidades, desde el BCSC se recomienda tener siempre los sistemas y aplicaciones actualizadas a la última versión disponible en cuanto se publiquen las actualizaciones correspondientes.
Desde Citrix se recomienda a los clientes afectados de Citrix ADC y Citrix Gateway que instalen las versiones actualizadas de Citrix ADC o Citrix Gateway lo antes posible, siendo las versiones afectadas:
- Citrix ADC y Citrix Gateway 13.1-33.47 y versiones posteriores
- Citrix ADC y Citrix Gateway 13.0-88.12 y versiones posteriores a la 13.0
- Citrix ADC y Citrix Gateway 12.1-65.21 y versiones posteriores a la 12.1
- Citrix ADC 12.1-FIPS 12.1-55.289 y versiones posteriores a la 12.1-FIPS
- Citrix ADC 12.1-NDcPP 12.1-55.289 y versiones posteriores a la 12.1- NDcPP
Adicionalmente, y sin relación con los CVE citados, se han añadido mejoras de seguridad para ayudar a proteger a los clientes de ataques de contrabando de solicitudes HTTP en las versiones anteriores de Citrix ADC y Citrix Gateway. Los clientes pueden habilitar estas mejoras mediante la interfaz de administración de Citrix ADC que se puede consultar en este enlace