Várias vulnerabilidades nos produtos Citrix podem permitir a divulgação de dados confidenciais

Várias vulnerabilidades foram descobertas em produtos Citrix, a mais grave das quais pode permitir a divulgação de dados confidenciais. Os detalhes das vulnerabilidades mais graves são os seguintes:

Tática:Acesso inicial(TA0001):

Técnica:Explorar aplicativo voltado para o público(T1190):

• Uma vulnerabilidade de leitura fora dos limites no NetScaler ADC e no NetScaler Gateway que afeta sistemas configurados como um Gateway (servidor virtual VPN, proxy ICA, CVPN, proxy RDP) ou servidor virtual AAA. Isso decorre de uma validação de entrada insuficiente. A exploração bem-sucedida permite que um agente de ameaça remoto e não autenticado acione sobreleituras de memória na interface afetada. (CVE-2025-5777)

Vulnerabilidades adicionais de menor gravidade:

• Uma vulnerabilidade de controle de acesso impróprio na interface de gerenciamento do NetScaler do NetScaler ADC e do NetScaler Gateway, afetando a versão 14.1 anterior a 14.1-43.56 e a versão 13.1 anterior a 13.1-58.32. Isso decorre da aplicação insuficiente de restrições de acesso em endpoints de gerenciamento. A exploração bem-sucedida permite que um agente de ameaça não autenticado com acesso ao NSIP (NetScaler IP para gerenciamento), IP de gerenciamento de cluster ou GSLB (Global Server Load Balancing) local (CVE-2025-5349)

A exploração bem-sucedida da mais grave dessas vulnerabilidades pode permitir a leitura excessiva da memória, levando à divulgação de informações potencialmente confidenciais, como tokens de sessão autenticados. Dependendo das informações confidenciais recuperadas por meio dessa técnica, o invasor pode obter mais acesso ao dispositivo ou aos sistemas.

Recomendamos que as seguintes ações sejam tomadas:

• Aplique a atualização de canal estável fornecida pela Citrix a sistemas vulneráveis imediatamente após o teste apropriado. (M1051: Atualizar software)
• Salvaguarda 7.1 : Estabelecer e manter um processo de gerenciamento de vulnerabilidades:Estabeleça e mantenha um processo documentado de gerenciamento de vulnerabilidades para ativos corporativos. Revise e atualize a documentação anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta Salvaguarda.
• Salvaguarda 7.2 : Estabelecer e manter um processo de correção:Estabeleça e mantenha uma estratégia de correção baseada em risco documentada em um processo de correção, com revisões mensais ou mais frequentes.
• Salvaguarda 7.6: Executar verificações automatizadas de vulnerabilidade de ativos corporativos expostos externamente:Execute verificações automatizadas de vulnerabilidades de ativos corporativos expostos externamente usando uma ferramenta de verificação de vulnerabilidades compatível com SCAP. Realize varreduras mensalmente ou com mais frequência.
• Salvaguarda 7.7 : Corrigir vulnerabilidades detectadas:Corrija vulnerabilidades detectadas no software por meio de processos e ferramentas mensalmente ou com mais frequência, com base no processo de correção.
• Salvaguarda 16.13 Realizar Teste de Penetração de Aplicativos:Realize o teste de penetração do aplicativoIng. Para aplicativos críticos, o teste de penetração autenticado é mais adequado para encontrar vulnerabilidades de lógica de negócios do que a verificação de código e o teste de segurança automatizado. O teste de penetração depende da habilidade do testador de manipular manualmente um aplicativo como um usuário autenticado e não autenticado.
• Salvaguarda 18.1: Estabelecer e manter um programa de teste de penetração:Estabelecer e manter um programa de teste de penetração apropriado ao tamanho, complexidade e maturidade da empresa. As características do programa de teste de penetração incluem escopo, como rede, aplicativo Web, Interface de Programação de Aplicativos (API), serviços hospedados e controles de instalações físicas; frequência; limitações, como horas aceitáveis e tipos de ataque excluídos; informações de ponto de contato; correção, como a forma como as descobertas serão roteadas internamente; e requisitos retrospectivos.
• Salvaguarda 18.2 : Realizar testes periódicos de penetração externa:Realize testes periódicos de penetração externa com base nos requisitos do programa, pelo menos anualmente. O teste de penetração externa deve incluir reconhecimento corporativo e ambiental para detectar informações exploráveis. O teste de penetração requer habilidades e experiência especializadas e deve ser conduzido por uma parte qualificada. O teste pode ser uma caixa transparente ou uma caixa opaca.
• Salvaguarda 18.3 : Remediar resultados do teste de penetração:Corrija as descobertas do teste de penetração com base na política da empresa para escopo e priorização de correção.

• A Citrix recomenda executar os seguintes comandospara encerrar todas as sessões ICA e PCoIP ativas após o upgrade dos dispositivos:
• mate a conexão icada -todos
• kill pcoipConnection -all

• Aplique o Princípio do Menor Privilégio a todos os sistemas e serviços. Execute todos os softwares como um usuário sem privilégios (sem privilégios administrativos) para diminuir os efeitos de um ataque bem-sucedido. (M1026: Gerenciamento de contas privilegiadas)
• Salvaguarda 4.7: Gerenciar contas padrão em ativos e software corporativos:Gerencie contas padrão em ativos e software corporativos, como raiz, administrador e outras contas de fornecedores pré-configuradas. Exemplos de implementações podem incluir: desabilitar contas padrão ou torná-las inutilizáveis.
• Salvaguarda 5.4: Restringir privilégios de administrador a contas de administrador dedicadas:Restrinja os privilégios de administrador a contas de administrador dedicadas em ativos corporativos. Realize atividades gerais de computação, como navegação na Internet, e-mail e uso do pacote de produtividade, a partir da conta principal e sem privilégios do usuário.
• Restringir o uso de determinados sites, bloquear downloads/anexos, bloquear Javascript, restringir extensões de navegador, etc. (M1021: Restringir conteúdo baseado na Web)
• Salvaguarda 2.3: Tratar de Software Não Autorizado:Certifique-se de que o software não autorizado seja removido do uso em ativos corporativos ou receba uma exceção documentada. Revise mensalmente ou com mais frequência.
• Salvaguarda 2.7: Lista de permissões de scripts autorizados:Use controles técnicos, como assinaturas digitais e controle de versão, para garantir que apenas scripts autorizados, como arquivos .ps1, .py etc. específicos, tenham permissão para serem executados. Bloqueie a execução de scripts não autorizados. Reavalie semestralmente, ou com mais frequência.
• Salvaguarda 9.3: Manter e aplicar filtros de URL baseados em rede:Aplique e atualize filtros de URL baseados em rede para limitar a conexão de um ativo corporativo a sites potencialmente mal-intencionados ou não aprovados. Exemplos de implementações incluem filtragem baseada em categoria, filtragem baseada em reputação ou por meio do uso de listas de bloqueio. Aplique filtros para todos os ativos corporativos.
• Salvaguarda 9.6: Bloquear tipos de arquivos desnecessários:Bloqueie tipos de arquivos desnecessários que tentam entrar no gateway de e-mail da empresa.
• Use recursos para detectar e bloquear condições que possam levar ou ser indicativas da ocorrência de uma exploração de software.(M1050: Proteção contra exploração)
• Salvaguarda 10.5: Ativar recursos anti-exploração:Habilite recursos antiexploração em ativos e software corporativos, sempre que possível, como® Microsoft Data Execution Prevention (DEP), Windows® Defender Exploit Guard (WDEG) ou Apple® System Integrity Protection (SIP) e Gatekeeper™.
• Bloqueie a execução de código em um sistema por meio de controle de aplicativos e/ou bloqueio de script. (M1038: Prevenção de execução)
• Salvaguarda 2.5 : Lista de permissões de software autorizado:Use controles técnicos, como a lista de permissões de aplicativos, para garantir que apenas software autorizado pode ser executado ou acessado. Reavalie semestralmente ou com mais frequência.
• Salvaguarda 2.6 : Lista de permissões de bibliotecas autorizadas:Use controles técnicos para garantir que apenas bibliotecas de software autorizadas, como arquivos específicos .dll, .ocx, .so etc., tenham permissão para carregar em um processo do sistema. Bloqueie o carregamento de bibliotecas não autorizadas em um processo do sistema. Reavalie semestralmente ou com mais frequência.
• Salvaguarda 2.7 : Lista de permissões de scripts autorizados:Use controles técnicos, como assinaturas digitais e controle de versão, para garantir que apenas scripts autorizados, como arquivos .ps1, .py etc. específicos, tenham permissão para serem executados. Bloqueie a execução de scripts não autorizados. Reavalie semestralmente ou com mais frequência.
• Use recursos para evitar que padrões de comportamento suspeitos ocorram em sistemas de endpoint. Isso pode incluir comportamento suspeito de processo, arquivo, chamada de API etc. (M1040: Prevenção de comportamento no endpoint)
• Salvaguarda 13.2 : Implantar uma solução de detecção de intrusão baseada em host: Implante uma solução de detecção de intrusão baseada em host em ativos corporativos, quando apropriado e/ou com suporte.
• Salvaguarda 13.7: Implantar uma solução de prevenção de intrusão baseada em host:Implante uma solução de prevenção de intrusão baseada em host em ativos corporativos, quando apropriado e/ou com suporte. Exemplos de implementações incluem o uso de um cliente EDR (Detecção e Resposta de Ponto de Extremidade) ou agente IPS baseado em host.