El 25 de Diciembre avisamos a través de Unaaldía de una vulnerabilidad en los sistemas Citrix que podría permitir a un atacante remoto hacerse con el control del sistema. A día de hoy este fallo no cuenta con actualización y se ha hecho público una PoC fácilmente reproducible cómo exploit para su explotación.

Esta situación es de extrema gravedad debido a que más de 25.000 servidores en todo el mundo tienen instalado Citrix Application Delivery Controller (ADC) o Citrix Gateway, por lo que los hace vulnerables.

El exploit es una PoC (prueba de concepto) que consta de dos llamadas a curl: uno para escribir un archivo de plantilla que incluiría el comando de shell del usuario y la segunda solicitud para descargar el resultado de la ejecución del comando.

La vulnerabilidad que permite a un atacante remoto no autenticado ejecute código arbitrario en el sistema, tiene asociado el identificador CVE-2019-19781 con una métrica de impacto Base de 10, debido a la escasa complejidad de explotación.

Citrix por su lado ha publicado una guía para mitigar la vulnerabilidad ya que hasta finales de enero no tendrá lista una actualización de seguridad.