Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Vulnerabilidad TLS Padding Oracle en productos Citrix

Fecha de publicación: 24/01/2019

Importancia: Alta

Recursos afectados:

Se ven afectadas las plataformas que no se encuentran en la siguiente lista y que ejecutan las siguientes versiones de Citrix ADC y NetScaler Gateway, incluidas las instancias de Citrix ADC en plataformas SDX que utilizan aceleración de hardware mediante una función virtual asignada (VF):

  • Citrix ADC y NetScaler Gateway versión 12.1 anterior a la build 50.31
  • Citrix ADC and NetScaler Gateway versión 12.0 anterior a la build 60.9
  • Citrix ADC and NetScaler Gateway versión 11.1 anterior a la build 60.14
  • Citrix ADC and NetScaler Gateway versión 11.0 anterior a la build 72.17
  • Citrix ADC and NetScaler Gateway versión 10.5 anterior a la build 69.5

Las siguientes plataformas no se ven afectadas y no requieren la actualización del firmware:

  • MPX 5900 series
  • MPX/SDX 8900 series
  • MPX/SDX 15000-50G
  • MPX/SDX 26000-50S series
  • MPX/SDX 26000-100G series
  • MPX/SDX 26000 series
  • VPX

Descripción:

Se ha identificado una vulnerabilidad en las plataformas Citrix Application Delivery Controller (ADC), formalmente conocido como NetScaler ADC, y NetScaler Gateway que podría permitir a un atacante explotar el dispositivo para descifrar el tráfico TLS.

Solución:

  • Los dispositivos Citrix ADC y NetScaler Gateway que han desactivado las suites de cifrado basadas en CBC no se ven afectados por esta vulnerabilidad. Citrix también recomienda priorizar los cifrados basados en GCM.
  • Citrix recomienda que los clientes afectados apliquen la mitigación adecuada o actualicen todos sus dispositivos vulnerables (Citrix ADC y NetScaler Gateway) a una versión del firmware del dispositivo que contenga una solución para este problema lo antes posible.

Detalle:

  • La aceleración de hardware utilizada por las plataformas Citrix ADC y NetScaler Gateway podría permitir a un atacante explotar el dispositivo para descifrar el tráfico TLS. Esta vulnerabilidad no permite directamente a un atacante obtener la clave privada de TLS. Se ha reservado el identificador CVE-2019-6485 para esta vulnerabilidad.

Etiquetas: Actualización, Vulnerabilidad