A Citrix informou os clientes esta semana sobre a necessidade de corrigir manualmente uma vulnerabilidade no cliente PuTTY SSH, que poderia permitir que hackers roubassem a chave SSH privada de um administrador do XenCenter.
O XenCenter é uma ferramenta que facilita a gestão de ambientes Citrix Hypervisor a partir de um desktop Windows, incluindo a implantação e o monitoramento de máquinas virtuais.
A vulnerabilidade de segurança (identificada como CVE-2024-31497) afeta várias versões do XenCenter para Citrix Hypervisor 8.2 CU1 LTSR, que inclui o PuTTY para estabelecer conexões SSH do XenCenter para VMs guest ao clicar no botão "Abrir console SSH".
A Citrix anunciou que o PuTTY foi removido a partir da versão 8.2.6 do XenCenter e que versões posteriores à 8.2.7 não incluirão mais o PuTTY.
"Um problema foi relatado em versões do PuTTY anteriores à versão 0.81; quando utilizado em conjunto com o XenCenter, esse problema pode, em determinados cenários, permitir que um hacker que controla uma VM guest determine a chave privada SSH de um administrador do XenCenter que utiliza essa chave para autenticar a VM por meio de uma conexão SSH", explicou a Citrix em um comunicado.
Descoberta e relatada por Fabian Bäumer e Marcus Brinkmann da Ruhr University Bochum, a falha CVE-2024-31497 é causada pela forma como versões mais antigas do cliente PuTTY SSH baseado em Windows geram nonces ECDSA (números criptográficos exclusivos temporários) para a curva NIST P-521 usada para autenticação.
A Citrix recomendou que os administradores que desejam mitigar a vulnerabilidade baixem a versão mais recente do PuTTY e a instalem no lugar da versão incluída nas versões mais antigas do XenCenter.
"Os clientes que não desejam usar a funcionalidade 'Abrir console SSH' podem remover completamente o componente PuTTY", acrescentou a Citrix.
"Os clientes que desejam continuar utilizando o PuTTY devem substituir a versão instalada no sistema XenCenter por uma versão atualizada (com um número de versão de pelo menos 0.81)."
Em janeiro, a CISA ordenou que as agências federais dos EUA corrigissem a injeção de código CVE-2023-6548 e as vulnerabilidades de buffer overflow CVE-2023-6549 do Citrix Netscaler um dia após a Citrix alertar que essas vulnerabilidades estavam sendo exploradas ativamente como zero-day.
Outra falha crítica do Netscaler (identificada como CVE-2023-4966 e apelidada de Citrix Bleed) foi explorada como zero-day por vários grupos de hackers para invadir organizações governamentais e empresas de tecnologia de alto perfil, como a Boeing, antes de ser corrigida em outubro.
O Centro de Coordenação de Cibersegurança do Setor de Saúde (equipe de segurança cibernética do HHS) também alertou as organizações de saúde, em um alerta setorial, para proteger as instâncias do NetScaler ADC e do NetScaler Gateway contra ataques crescentes de ransomware.
Via - BleepingComputer
Comments