Системные привилегии за один запрос: watchTowr взламывает защиту Citrix

Новая уязвимость ставит под удар инфраструктуру Citrix.


g6b1cu3vx5lncxsowbtlhldaqaor5mqb.jpg


Специалисты watchTowr опубликовали доказательство концепции ( PoC ) для эксплуатации RCE-уязвимости в Citrix Virtual Apps and Desktops. Ошибка позволяет получить системные привилегии, отправив всего один HTTP-запрос, что открывает доступ к инфраструктуре виртуальных рабочих столов (VDI) Citrix.

Хотя Citrix уже выпустила исправления и призывает пользователей установить их, компания настаивает на том, что обнаруженная уязвимость не является «неаутентифицированной RCE». Представители Citrix утверждают, что для эксплуатации необходимо быть авторизованным пользователем с доступом от имени NetworkService.

Однако watchTowr не согласна с этой оценкой, заявляя, что проблема намного серьёзнее: уязвимость позволяет злоумышленнику получить системные привилегии на сервере, который управляет всеми приложениями и сессиями пользователей. Это позволяет атакующему подменять пользователей, включая администраторов, и незаметно отслеживать их действия.

Уязвимость обнаружена в модуле Session Recording Manager, который записывает видеопоток пользовательских сессий, а также фиксирует нажатия клавиш и движения мыши в целях мониторинга и диагностики. Сессии отправляются на сервер и хранятся в базе данных с использованием службы Microsoft Message Queuing ( MSMQ ).

Исследователи выявили, что процесс инициализации очередей в MSMQ имеет чрезмерно открытые разрешения, что позволяет любому вставлять сообщения. Более серьёзная проблема связана с использованием устаревшего и небезопасного класса BinaryFormatter для десериализации данных. В документации Microsoft прямо указано, что BinaryFormatter «опасен и не рекомендуется к использованию».

Эксплуатация уязвимости возможна с помощью простого HTTP-запроса, хотя доступ к MSMQ обычно осуществляется через TCP-порт 1801. Специалисты были удивлены тем, что Citrix включила поддержку MSMQ по HTTP, хотя для функциональности продукта это не требуется.

После публикации PoC, Citrix оперативно выпустила рекомендации и обновления для устранения уязвимости. Исправления касаются следующих версий:

  • Citrix Virtual Apps and Desktops до версии 2407: Hotfix 24.5.200.8
  • Citrix Virtual Apps and Desktops 1912 LTSR до CU9: Hotfix 19.12.9100.6
  • Citrix Virtual Apps and Desktops 2203 LTSR до CU5: Hotfix 22.03.5100.11
  • Citrix Virtual Apps and Desktops 2402 LTSR до CU1: Hotfix 24.02.1200.16
Компания присвоила уязвимостям два CVE-идентификатора:

  • CVE-2024-8068 (оценка CVSS: 5.1): уязвимость повышения привилегий для доступа к учётной записи NetworkService. Требуется аутентификация в той же доменной сети Active Directory, что и сервер записи сессий.
  • CVE-2024-8069 (оценка CVSS: 5.1): ограниченная (Limited) RCE-уязвимость, требующая доступа к NetworkService и аутентификации во внутренней сети жертвы.
Citrix утверждает, что для эксплуатации уязвимостей необходимы дополнительные условия и аутентификация, что значительно снижает их опасность. Однако watchTowr продолжает настаивать на своём, утверждая, что PoC демонстрирует гораздо более серьёзные последствия.