Notícias
RECOMENDAÇÃO 44/2022
[TLP:CLEAR]
1. A empresa Citrix Systems divulgou, em recente boletim de segurança, informações sobre vulnerabilidades críticas nos produtos Citrix Gateway e Citrix ADC, conforme as Common Vulnerabilities and Exposures (CVE) abaixo relacionadas:
- https://nvd.nist.gov/vuln/detail/CVE-2022-27510;
- https://nvd.nist.gov/vuln/detail/CVE-2022-27513; e
- https://nvd.nist.gov/vuln/detail/CVE-2022-27516.
2. As seguintes versões do Citrix ADC and Citrix Gateway são afetadas:
- Citrix ADC e Citrix Gateway 13.1 antes de 13.1-33.47;
- Citrix ADC e Citrix Gateway 13.0 antes de 13.0-88.12;
- Citrix ADC e Citrix Gateway 12.1 antes de 12.1.65.21;
- Citrix ADC 12.1-FIPS antes de 12.1-55.289; e
- Citrix ADC 12.1-NDcPP antes de 12.1-55.289.
3. O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) solicita às instituições da Administração Pública Federal (APF) e orienta as demais entidades/instituições que identifiquem sistemas Citrix vulneráveis sob sua responsabilidade e providenciem as atualizações de acordo com as recomendações do fabricante, disponíveis em:
4. Além das atualizações, o CTIR Gov recomenda a ativação de aprimoramentos de segurança para ajudar a proteger clientes contra ataques do tipo "HTTP Request Smuggling". Para isso, deve ser usada a interface de gerenciamento do Citrix ADC, conforme orientações disponíveis em:
5. O CTIR Gov, em atenção ao Decreto 10.748/2021, solicita às entidades responsáveis pelas Equipes de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos Setoriais que orientem a constituency de seus respectivos setores sobre o tratado nesta Recomendação. Reforça também que a participação dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional na Rede Federal de Gestão de Incidentes Cibernéticos é obrigatória. Desta forma, o processo de formalização da adesão deverá ser operacionalizado em linha com tal normativo e com as orientações constantes da página eletrônica do CTIR Gov (https://www.gov.br/ctir/pt-br/assuntos/perguntas-frequentes-decreto-10-748-2021/perguntas-frequentes-sobre-o-decreto-10-748-2021).
6. O CTIR Gov ressalta que, de acordo com os artigos 15 e 17 do Decreto Nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação, cada órgão é responsável pela proteção cibernética de seus ativos de informação. Referência: https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/56970098/do1-2018-12-27-decreto-n-9-637-de-26-de-dezembro-de-2018-56969938
7. Os alertas e recomendações emitidos pelo CTIR Gov podem ser encontrados em:
8. O CTIR Gov adere ao padrão Traffic Light Protocol (TLP), conforme definido pelo Forum of Incident Response and Security Teams (FIRST). Para mais informações, acesse:
Equipe CTIR Gov.
[TLP:CLEAR]