Vulnerabilidades críticas en Citrix XenMobile

Citrix está instando a los usuarios a que parcheen inmediatamente un par de fallos críticos en su software insignia de gestión de dispositivos móviles. Si se explotan, las vulnerabilidades podrían permitir a individuos no autorizados acceder de forma remota a las credenciales de las cuentas de dominio, lo que en última instancia abriría la puerta a un tesoro de datos corporativos, incluyendo el correo electrónico y las aplicaciones web.

Los fallos se encuentran en Citrix Endpoint Management (CEM), a menudo denominado XenMobile Server, que permite a las empresas administrar los dispositivos móviles de los empleados y las aplicaciones móviles mediante el control de las configuraciones y actualizaciones de seguridad de los dispositivos. En general, se descubrieron cinco vulnerabilidades, dos de las cuales (CVE-2020-8208 y CVE-2020-8209) se califican como críticas en cuanto a su gravedad.

Recomendamos que estas actualizaciones se hagan inmediatamente. Aunque no se conocen exploits hasta el momento de escribir esto, anticipamos que los atacantes se moverán rápidamente para explotarlas.

Fermin J. Serna, Jefe de Seguridad de la Información de Citrix

Una de las dos vulnerabilidades críticas descubiertas, CVE-2020-8209, es un Path Traversal que proviene de una validación insuficiente de un input. Estas vulnerabilidades se derivan de fallos de seguridad en la web que permiten a los atacantes leer archivos en el servidor que está ejecutando una aplicación.

Andrey Medov de Positive Technologies, que descubrió la vulnerabilidad, dijo que los atacantes pueden explotarla convenciendo a los usuarios de acceder a una URL especialmente diseñada para esto. Entonces serían capaces de acceder a archivos arbitrarios fuera del directorio raíz del servidor web, incluyendo archivos de configuración y claves de encriptación para datos sensibles.

"La explotación de esta vulnerabilidad permite a los atacantes obtener información que puede ser útil para romper la seguridad perimetral, ya que el archivo de configuración a menudo almacena las credenciales de la cuenta de dominio para el acceso LDAP [Lightweight Directory Access Protocol; un protocolo estándar de la industria utilizado para acceder a servicios de información de directorio distribuidos a través de una red IP]", dijo Medov en un comunicado.

"Con acceso a la cuenta de dominio, un atacante remoto puede utilizar los datos obtenidos para la autenticación en otros recursos externos de la empresa, incluyendo el correo corporativo, VPN y aplicaciones web. Peor aún, un atacante que haya logrado leer el archivo de configuración puede acceder a datos confidenciales, como la contraseña de la base de datos (PostgreSQL local por defecto y una base de datos remota de SQL Server en algunos casos)".

Más en concreto, poseen un impacto de nivel crítico las vulnerabilidades existentes en las siguientes tecnologías: XenMobile Server 10.12 antes de RP2, XenMobile Server 10.11 antes de RP4, XenMobile Server 10.10 antes de RP6 y XenMobile Server antes de 10.9 RP5.

Las tres restantes (CVE-2020-8210, CVE-2020-8211 y CVE-2020-8212) se clasifican como de gravedad media y baja. No se han publicado más detalles sobre estas vulnerabilidades, ni tampoco del segundo fallo crítico (CVE-2020-8208).

"Los últimos parches que deben aplicarse para las versiones 10.9, 10.10, 10.11 y 10.12 están disponibles inmediatamente. Cualquier versión anterior a la 10.9.x debe ser actualizada a una versión soportada con el último parche. Recomendamos que se actualice a 10.12 RP3, la última versión soportada".

Citrix se une al resto de empresas que están publicando actualizaciones de seguridad esta semana, incluyendo Intel, que eliminó una vulnerabilidad de gravedad crítica que afectaba a varias de sus placas madre, sistemas de servidores; Microsoft, que solucionó 120 errores, incluyendo dos bajo ataque activo; y Adobe.

Fuente: Hispasec | Threatpost

Suscríbete a nuestro Boletín