En julio de 2024, Citrix reveló una vulnerabilidad de seguridad crítica en el software NetScaler Console. Este fallo, presente en la versión 14.1 hasta la versión anterior a la 14.1-25.53, podría permitir a un usuario malintencionado obtener acceso administrativo no autorizado. Aunque inicialmente se describió como una simple “exposición de información”, se descubrió que la vulnerabilidad permite a los atacantes eludir completamente la autenticación, lo que conlleva riesgos significativos para las organizaciones que utilizan las versiones afectadas del software.

Producto	Citrix-NetScaler
Fecha	2025-05-20 10:10:46
Información	Tendencia Solución disponible

Resumen técnico

CVE-2024-6235 es una vulnerabilidad crítica (puntuación CVSS v4: 9.4) en Citrix NetScaler Console 14.1, derivada de una autenticación incorrecta (CWE-287). El fallo reside en un endpoint de API interno (/internal/v2/config/mps_secret/ADM_SESSIONID) que elude incorrectamente los controles de validación de sesión. Cuando se envían encabezados HTTP específicos (Tenant-Name: Owner, User-Name: nsroot, Mps-Internal-Request: true), un atacante puede obtener un ID de sesión administrativa válido sin autenticación.

Este ID de sesión puede reutilizarse en solicitudes de API para realizar acciones administrativas, como la creación de nuevos usuarios superadministradores. La vulnerabilidad deriva de la confianza en el proceso interno mas_service, que gestiona solicitudes mediante HTTP/HTTPS en los puertos 80 y 443. El acceso a la API interna no requiere encabezados de autenticación ni cookies de sesión, solo una solicitud construida específicamente.

Los investigadores confirmaron el impacto creando nuevas cuentas administrativas utilizando el ID de sesión y observaron que se necesitaban tokens de solicitud adicionales (rand_key) para operaciones que modifican el estado, como la creación de usuarios. Con un análisis adicional, dichos tokens podrían potencialmente ser eludidos o predichos.

Recomendaciones

• Acción inmediata: actualizar NetScaler Console a la versión 14.1-25.53 o superior, en la cual se ha corregido la vulnerabilidad.

• Segmentación de la red: asegurarse de que las interfaces de gestión (como NetScaler Console) no estén expuestas a Internet. Limitar el acceso únicamente a redes internas de confianza.

• Monitoreo: analizar los registros (logs) para identificar patrones de acceso anómalos o la creación no autorizada de usuarios, especialmente hacia el endpoint interno /mps_secret/ADM_SESSIONID.

[Callforaction-THREAT-Footer]