Citrix está advirtiendo de dos vulnerabilidades de seguridad zero-day en NetScaler ADC (anteriormente Citrix ADC) y NetScaler Gateway (anteriormente Citrix Gateway) que están siendo explotadas activamente en la naturaleza.
Los defectos se enumeran a continuación:
- CVE-2023-6548 (puntuación CVSS: 5,5) - Ejecución remota de código autenticado (con pocos privilegios) en la interfaz de gestión (requiere acceso a NSIP, CLIP o SNIP con acceso a la interfaz de gestión)
- CVE-2023-6549 (puntuación CVSS: 8,2) - Denegación de servicio (requiere que el dispositivo esté configurado como puerta de enlace o servidor virtual de autorización y contabilidad, o AAA)
Las siguientes versiones gestionadas por el cliente de NetScaler ADC y NetScaler Gateway se ven afectadas por las deficiencias:
- NetScaler ADC y NetScaler Gateway 14.1 antes de 14.1-12.35
- NetScaler ADC y NetScaler Gateway 13.1 antes de 13.1-51.15
- NetScaler ADC y NetScaler Gateway 13.0 antes de 13.0-92.21
- NetScaler ADC y NetScaler Gateway versión 12.1 (actualmente al final de su vida útil)
- NetScaler ADC 13.1-FIPS antes de 13.1-37.176
- NetScaler ADC 12.1-FIPS antes de 12.1-55.302
- NetScaler ADC 12.1-NDcPP antes de 12.1-55.302
"Se han observado exploits de estos CVEs en dispositivos no mitigados", dijo Citrix, sin compartir ninguna especificación adicional. Se recomienda a los usuarios de NetScaler ADC y NetScaler Gateway versión 12.1 que actualicen sus dispositivos a una versión compatible que corrija los fallos.
También se aconseja no exponer la interfaz de gestión a Internet para reducir el riesgo de explotación.
En los últimos meses, varias vulnerabilidades de seguridad en dispositivos Citrix (CVE-2023-3519 y CVE-2023-4966) han sido utilizadas como armas por actores de amenazas para lanzar web shells y secuestrar sesiones autenticadas existentes.
VMware corrige un fallo crítico en la automatización de Aria
La revelación se produce cuando VMware alertó a los clientes de una vulnerabilidad de seguridad crítica en Aria Automation (anteriormente vRealize Automation) que podría permitir a un atacante autenticado obtener acceso no autorizado a organizaciones y flujos de trabajo remotos.
Al problema se le ha asignado el identificador CVE-2023-34063 (puntuación CVSS: 9,9), y el proveedor de servicios de virtualización propiedad de Broadcom lo describe como un fallo de "falta de control de acceso".
El equipo de Plataformas de Computación Científica de la Organización de Investigación Científica e Industrial de la Commonwealth (CSIRO) ha sido acreditado por descubrir y reportar la vulnerabilidad de seguridad.
A continuación se indican las versiones afectadas por la vulnerabilidad:
- VMware Aria Automation (8.11.x, 8.12.x, 8.13.x y 8.14.x)
- VMware Cloud Foundation (4.x y 5.x)
"La única ruta de actualización soportada después de aplicar el parche es a la versión 8.16", dijo VMware. "Si se actualiza a una versión intermedia, la vulnerabilidad se reintroducirá, lo que requerirá una ronda adicional de parches".
Atlassian revela un error crítico de ejecución de código
El desarrollo también se produce tras la publicación por parte de Atlassian de parches para más de dos docenas de vulnerabilidades, incluido un fallo crítico de ejecución remota de código (RCE) que afecta a Confluence Data Center y Confluence Server.
A la vulnerabilidad, CVE-2023-22527, se le ha asignado una puntuación CVSS de 10,0, que indica la máxima gravedad. Afecta a las versiones 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x y 8.5.0-8.5.3. Cabe destacar que las versiones 7.19.x LTS no están afectadas por la vulnerabilidad.
"Una vulnerabilidad de inyección de plantillas en versiones no actualizadas de Confluence Data Center y Server permite a un atacante no autenticado conseguir RCE en una versión afectada", ha explicado la compañía australiana.
El problema se ha solucionado en las versiones 8.5.4, 8.5.5 (Confluence Data Center y Server), 8.6.0, 8.7.1 y 8.7.2 (sólo Data Center). Se recomienda a los usuarios que utilicen instancias obsoletas que actualicen sus instalaciones a la última versión disponible.
Fuente: thehackernews