Citrix ha iniziato a rilasciare patch per la vulnerabilita CVE-2019-19781

Citrix CVE-2019-19781

Vi avevo parlato di Citrix 8/01/2020 e della sua vulnerabilità che poteva/può consentire a un aggressore di eseguire un’esecuzione arbitraria del codice anche senza un’adeguata autenticazione.

“Se questa vulnerabilità viene sfruttata, gli aggressori ottengono l’accesso diretto alla rete locale dell’azienda da Internet. Questo attacco non richiede l’accesso ad alcun account e può quindi essere eseguito da qualsiasi aggressore esterno”.

“Questa vulnerabilità riguarda tutte le versioni supportate del prodotto e tutte le piattaforme supportate, compresi Citrix ADC e Citrix Gateway 13.0, Citrix ADC e NetScaler Gateway 12.1, Citrix ADC e NetScaler Gateway 12.0, Citrix ADC e NetScaler Gateway 11.1, e anche Citrix NetScaler ADC e NetScaler Gateway 10.5”, nota la società di sicurezza.”

Citrix ha iniziato a rilasciare patch per CVE-2019-19781.

“Sollecitiamo i clienti a installare immediatamente queste correzioni”, ha detto l’azienda. “Se non l’avete già fatto, dovete applicare la mitigazione fornita in precedenza alle versioni ADC 12.1, 13, 10.5 e SD-WAN WANOP 10.2.6 e 11.0.3 fino a quando non saranno disponibili le correzioni per queste versioni”.

La scorsa settimana Citrix ha annunciato una linea temporale per gli aggiornamenti. Promettono di rilasciare aggiornamenti del firmware patchati per tutte le versioni supportate di ADC e Gateway software entro la fine di gennaio 2020, come mostrato nel grafico.

Citrix-ADC-Gateway CVE-2019-19781
Citrix-ADC-Gateway CVE-2019-19781



Come parte del suo primo lotto di aggiornamenti, Citrix ha rilasciato oggi patch permanenti per le versioni ADC 11.1 e 12.0 che si applicano anche ad “ADC e Gateway VPX ospitati su ESX, Hyper-V, KVM, XenServer, Azure, AWS, GCP o su un Citrix ADC Service Delivery Appliance (SDX)”.
“È necessario aggiornare tutte le istanze Citrix ADC e Citrix Gateway 11.1 (MPX o VPX) per costruire la 11.1.63.15 per installare le correzioni delle vulnerabilità di sicurezza. È necessario aggiornare tutte le istanze ADC Citrix e Citrix Gateway 12.0 (MPX o VPX) per compilare la 12.0.63.13 per installare le correzioni delle vulnerabilità di sicurezza”, ha detto Citrix nel suo advisory.