2min Security

Citrix waarschuwt admins om handmatig bug in SSH-client aan te pakken

Citrix waarschuwt admins om handmatig bug in SSH-client aan te pakken

Admins moeten zelf een kwetsbaarheid in de PuTTY SSH-client tegengaan. Citrix waarschuwt dat aanvallers een private SSH-key kunnen stelen als er geen mitigatie plaatsvindt.

De kwetsbaarheid CVE-2024-31497 zit in XenCenter for Citrix Hypervisor 8.2 CU1 LTSR. Het kwetsbare third-party component is vanaf versie 8.2.6 niet meer aanwezig. Eerdere versies van PuTTY dan 0.81 maken het in sommige gevallen mogelijk voor een aanvaller om via een overgenomen guest VM een private SSH-key te bemachtigen van de admin.

XenCenter maakt het mogelijk om Citrix Hypervisor vanuit Windows aan te sturen. PuTTY wordt daarbij gebruikt om op een veilige manier met een machine op afstand te verbinden. Als de tijdelijke cryptografische nummers niet volledig willekeurig gegenereerd zijn, kan een aanvaller de key onderscheppen.

Advies

Wie geen gebruikmaakt van de Open SSH Console-functionaliteit, kan PuTTY in zijn geheel verwijderen. Elke versie van Citrix Hypervisor zal voortaan geen PuTTY bevatten. Wie wel beschermd wil zijn maar niet van PuTTY af wil, kunnen de vooraf geïnstalleerde versie binnen XenCenter apart updaten. De versie moet daarbij dus ten minste 0.81 zijn.

Citrix patcht het probleem zelf dus weg door geheel van PuTTY af te stappen. XenCenter for XenServer 8 heeft ondertussen nooit gebruik gemaakt van PuTTY.

Lees ook: Citrix maakt patches beschikbaar voor kritische lekken