A Citrix anunciou na terça-feira o lançamento de patches para uma vulnerabilidade de gravidade crítica no cliente Secure Access para Ubuntu que pode ser explorada para obter a execução remota de código (RCE).
De acordo com a Citrix consultivono entanto, a exploração do problema, que é rastreado como CVE-2023-24492 (pontuação CVSS de 9,6), requer interação do usuário.
“Foi descoberta uma vulnerabilidade no cliente Citrix Secure Access para Ubuntu que, se explorada, pode permitir que um invasor execute remotamente o código se um usuário vítima abrir um link criado pelo invasor e aceitar outras solicitações.” um conselho do NIST lê.
A Citrix não forneceu detalhes técnicos sobre a falha, mas anunciou que a versão 23.5.2 do cliente Secure Access para Ubuntu resolve isso.
Na terça-feira, a gigante da tecnologia também anunciou patches para uma vulnerabilidade de elevação de privilégio de alta gravidade no cliente Secure Access para Windows.
Rastreado como CVE-2023-24491 (pontuação CVSS de 7,8), o problema permite que um invasor com acesso a um endpoint com conta de usuário padrão e um cliente vulnerável elevem privilégios para NT Authority\System.
A vulnerabilidade foi resolvida com o lançamento do cliente Secure Access para Windows versão 23.5.1.3.
A Citrix deu crédito a Rilke Petrosky, da F2TC Cyber Security, por relatar ambas as vulnerabilidades.
Os clientes Citrix são aconselhados a atualizar suas instalações o mais rápido possível, substituindo o cliente vulnerável no Citrix ADC ou Gateway, se ele for distribuído por meio do recurso de controle de atualização SSL VPN do ADC ou Gateway.
No entanto, a gigante da tecnologia também lança os clientes Secure Access de forma autônoma, e os clientes podem simplesmente instalar/atualizar a versão corrigida diretamente nos dispositivos dos usuários.
A empresa não menciona nenhuma dessas vulnerabilidades exploradas em ataques, mas não é incomum que produtos Citrix sem patches sejam alvo de ataques mal-intencionados. Detalhes adicionais sobre os bugs podem ser encontrados no Citrix’s.