Citrix a publié mardi des correctifs pour résoudre plusieurs vulnérabilités dans Citrix Endpoint Management (CEM), qui permettent à un attaquant d’obtenir des privilèges administratifs sur les systèmes affectés.

Souvent appelé XenMobile, le serveur Citrix Endpoint Management (CEM) fournit aux entreprises des capacités de gestion pour les appareils mobiles et les applications et permet aux employés de travailler sur des appareils fournis par l’entreprise et sur leurs propres appareils.

La gravité des vulnérabilités identifiées, qui portent les identifiants CVE CVE-2020-8208, CVE-2020-8209, CVE-2020-8210, CVE-2020-8211 et CVE-2020-8212, diffère en fonction de la version installée de XenMobile.

Ainsi, les vulnérabilités sont considérées critique pour le serveur XenMobile 10.12 avant RP2, 10.11 avant RP4, 10.10 avant RP6 et toutes les versions avant 10.9 RP5. Pour les versions de XenMobile Server 10.12 avant RP3, 10.11 avant RP6, 10.10 avant RP6 et les versions antérieures à 10.9 RP5, l’impact est moyen ou faible.

«Les derniers correctifs de roulement qui doivent être appliqués pour les versions 10.9, 10.10, 10.11 et 10.12 sont disponibles immédiatement. Toutes les versions antérieures à 10.9.x doivent être mises à niveau vers une version prise en charge avec le dernier correctif progressif. Nous vous recommandons de passer à la version 10.12 RP3, la dernière version prise en charge », note Fermin Serna, CISO de Citrix, dans un article de blog.

La société n’a pas fourni de détails techniques sur les vulnérabilités corrigées, mais a révélé qu’elle avait pré-notifié les CERT et les clients le 23 juillet. À ce jour, plus de 70% des clients concernés qui ont été pré-notifiés ont installé les correctifs disponibles.

«Nous recommandons que ces mises à niveau soient effectuées immédiatement. Bien qu’il n’y ait pas d’exploits connus au moment de la rédaction de cet article, nous prévoyons que les acteurs malveillants agiront rapidement pour exploiter », a averti Serna.

Répondre à un SecurityWeek enquête, Citrix s’est abstenu de fournir des informations sur le type de vulnérabilités corrigées, mais a révélé qu’elles pouvaient être exploitées à distance, sans authentification.