Un error crítico en el software Citrix está afectando a 80.000 empresas en todo el mundo

Alrededor 80.000 empresas que están usando Citrix Controlador de entrega de aplicaciones (ADC) corren el riesgo de ser pirateados debido a un error en su servicio. ADC es un software de red utilizado por estas empresas y se ve afectado por una vulnerabilidad crítica, que podría permitir que personas no autorizadas accedan a la red interna de la empresa en menos de un minuto.

¡80.000 empresas en total!

Descubierto por primera vez por Mikhail Klyuchnikov, un investigador de seguridad de Tecnologías positivas en el Reino Unido, definió este error como tan crítico que puede afectar fácilmente a miles de empresas. Se estima que los usuarios actuales de este software existen 80.000 empresas adentro 158 países. Ni Klyuchnikov ni Citrix detallaron las implicaciones del error, pero definieron las consecuencias.

Un error crítico en el software Citrix está afectando a 80.000 empresas en todo el mundo
Imagen de Flickr

Identificado con código CVE-2019-19781, la vulnerabilidad se encontró en Application Delivery Controller (ADC) de Citrix, que se utiliza para conectarse a estaciones de trabajo. Esta red se forma con todas las computadoras y servidores de una empresa conectados entre sí. Por lo tanto, el acceso no autorizado a esto puede permitir que un atacante obtenga información confidencial.

La empresa y el buscador informan que los siguientes sistemas son vulnerables.

  • Citrix ADC y Citrix Gateway versión 13.0 son todas las compilaciones compatibles.
  • Citrix ADC y NetScaler Gateway versión 12.1 todas las compilaciones compatibles
  • Citrix ADC y NetScaler Gateway versión 12.0 todas las compilaciones compatibles
  • Citrix ADC y NetScaler Gateway versión 11.1 todas las compilaciones compatibles
  • Citrix NetScaler ADC y NetScaler Gateway versión 10.5 todas las compilaciones compatibles

Defensa temporal hasta el parche principal

Que el equipo de TI de Citrix no se está divirtiendo este fin de semana, tienen que trabajar duro y lanzar un parche para esta vulnerabilidad pronto. La empresa, poco después de ser denunciada por Klyuchnikov, reconoció la falla y corrigió en su Blog.

La compañía ahora está notificando a todos sus clientes sobre el error y recomendando que soliciten medidas de mitigación. Él detalló los pasos para un medida de defensa provisional.

Además, la empresa sugirió que los administradores firmen su panel informativo para saber cuándo lanzarán el firmware corregido.

Citrix no le dio al error una puntuación de gravedad, el descubridor Positive Technologies pensó que se merecía 10/10!