Citrix ha pubblicato le patch per 11 nuove vulnerabilità nei prodotti di rete Citrix ADC, Citrix Gateway e Citrix SD-WAN WANOP edition. Le falle, in determinate condizioni, potrebbero consentire a un utente malintenzionato di inserire codice dannoso in una rete su cui è in esecuzione il software Citrix, o di condurre un attacco di tipo Denial of Service sui server virtuali. Citrix caldeggia l'installazione tempestiva delle patch.

Fermin J. Serna, in un post sul blog ufficiale di Citrix, sottolinea che al momento le falle non sono state sfruttate. Oltre alla pubblicazione del bollettino e delle CVE correlate, l'azienda statunitense ha aggiunto alcune note a commento per prevenire interpretazioni errate del rischio. 

Le buone notizie sono che le patch chiudono completamente le vulnerabilità, e che il servizio Gateway gestito da Citrix non è interessato. Infine, queste vulnerabilità non sono legate alla CVE-2019-19781. Il riferimento è doveroso dopo quanto accaduto a fine 2019. Appena prima di Natale, la vulnerabilità critica sopraccitata fu scoperta da Positive Techology e occorse un mese per ottenere una patch risolutiva. Periodo durante il quale i cyber criminali riuscirono a sfruttarla attivamente.
Justin Elze, consulente di sicurezza presso TrustedSec, ha sottolineato che i nuovi bug non avranno un impatto sulla sicurezza al pari di quello della vulnerabilità emersa a dicembre. Lo sfruttamento di molti dei nuovi bug, infatti, richiede l'accesso all'indirizzo IP utilizzato per gestire il software.

Dal canto suo, Serna fa appello alla calma sottolineando che il rischio si riduce a un attacco Denial-of-Service. E che anche in questo caso, si può verificare solo quando vengono utilizzati Gateway o server virtuali di autenticazione. Altri tipi di server virtuali, come per esempio quelli per il bilanciamento del carico, non sono interessati dal problema.

Inoltre, tre dei sei possibili attacchi si verificano nell'interfaccia di gestione di un dispositivo vulnerabile. I clienti che hanno seguito le raccomandazioni Citrix e hanno protetto questa interfaccia con un firewall incorrono in rischi molto ridotti.

Maarten Boone, un ricercatore che ha scoperto uno degli 11 nuovi bug, intende pubblicare un exploit proof-of-concept per la vulnerabilità di escalation dei privilegi che ha trovato, con lo scopo di spingere i clienti Citrix a installare il prima possibile le patch.
Per l'installazione semplificata delle patch l'azienda consiglia di usare il servizio ADM Citrix, una soluzione SaaS disponibile su Citrix Cloud. Serve per gestire, monitorare, analizzare e risolvere i problemi dell'infrastruttura globale ibrida di distribuzione di applicazioni multi-cloud da un'unica console.

Nonostante questa volta il rischio sia basso, Elze invita a non abbassare la guardia. La notizia di Citrix arriva a poche ore da quelle di F5 e di Palo Alto Networks. È una chiara indicazione della pista che stanno battendo i cyber criminali per attaccare le aziende. A prescindere dal produttore dei propri dispositivi di rete è quindi importante controllare una volta di più le impostazioni e la disponibilità di aggiornamenti.