Системные привилегии за один запрос: watchTowr взламывает защиту Citrix
NewsMakerНовая уязвимость ставит под удар инфраструктуру Citrix.
Специалисты watchTowr опубликовали доказательство концепции ( PoC ) для эксплуатации RCE-уязвимости в Citrix Virtual Apps and Desktops. Ошибка позволяет получить системные привилегии, отправив всего один HTTP-запрос, что открывает доступ к инфраструктуре виртуальных рабочих столов (VDI) Citrix.
Хотя Citrix уже выпустила исправления и призывает пользователей установить их, компания настаивает на том, что обнаруженная уязвимость не является «неаутентифицированной RCE». Представители Citrix утверждают, что для эксплуатации необходимо быть авторизованным пользователем с доступом от имени NetworkService.
Однако watchTowr не согласна с этой оценкой, заявляя, что проблема намного серьёзнее: уязвимость позволяет злоумышленнику получить системные привилегии на сервере, который управляет всеми приложениями и сессиями пользователей. Это позволяет атакующему подменять пользователей, включая администраторов, и незаметно отслеживать их действия.
Уязвимость обнаружена в модуле Session Recording Manager, который записывает видеопоток пользовательских сессий, а также фиксирует нажатия клавиш и движения мыши в целях мониторинга и диагностики. Сессии отправляются на сервер и хранятся в базе данных с использованием службы Microsoft Message Queuing ( MSMQ ).
Исследователи выявили, что процесс инициализации очередей в MSMQ имеет чрезмерно открытые разрешения, что позволяет любому вставлять сообщения. Более серьёзная проблема связана с использованием устаревшего и небезопасного класса BinaryFormatter для десериализации данных. В документации Microsoft прямо указано, что BinaryFormatter «опасен и не рекомендуется к использованию».
Эксплуатация уязвимости возможна с помощью простого HTTP-запроса, хотя доступ к MSMQ обычно осуществляется через TCP-порт 1801. Специалисты были удивлены тем, что Citrix включила поддержку MSMQ по HTTP, хотя для функциональности продукта это не требуется.
После публикации PoC, Citrix оперативно выпустила рекомендации и обновления для устранения уязвимости. Исправления касаются следующих версий:
Специалисты watchTowr опубликовали доказательство концепции ( PoC ) для эксплуатации RCE-уязвимости в Citrix Virtual Apps and Desktops. Ошибка позволяет получить системные привилегии, отправив всего один HTTP-запрос, что открывает доступ к инфраструктуре виртуальных рабочих столов (VDI) Citrix.
Хотя Citrix уже выпустила исправления и призывает пользователей установить их, компания настаивает на том, что обнаруженная уязвимость не является «неаутентифицированной RCE». Представители Citrix утверждают, что для эксплуатации необходимо быть авторизованным пользователем с доступом от имени NetworkService.
Однако watchTowr не согласна с этой оценкой, заявляя, что проблема намного серьёзнее: уязвимость позволяет злоумышленнику получить системные привилегии на сервере, который управляет всеми приложениями и сессиями пользователей. Это позволяет атакующему подменять пользователей, включая администраторов, и незаметно отслеживать их действия.
Уязвимость обнаружена в модуле Session Recording Manager, который записывает видеопоток пользовательских сессий, а также фиксирует нажатия клавиш и движения мыши в целях мониторинга и диагностики. Сессии отправляются на сервер и хранятся в базе данных с использованием службы Microsoft Message Queuing ( MSMQ ).
Исследователи выявили, что процесс инициализации очередей в MSMQ имеет чрезмерно открытые разрешения, что позволяет любому вставлять сообщения. Более серьёзная проблема связана с использованием устаревшего и небезопасного класса BinaryFormatter для десериализации данных. В документации Microsoft прямо указано, что BinaryFormatter «опасен и не рекомендуется к использованию».
Эксплуатация уязвимости возможна с помощью простого HTTP-запроса, хотя доступ к MSMQ обычно осуществляется через TCP-порт 1801. Специалисты были удивлены тем, что Citrix включила поддержку MSMQ по HTTP, хотя для функциональности продукта это не требуется.
После публикации PoC, Citrix оперативно выпустила рекомендации и обновления для устранения уязвимости. Исправления касаются следующих версий:
- Citrix Virtual Apps and Desktops до версии 2407: Hotfix 24.5.200.8
- Citrix Virtual Apps and Desktops 1912 LTSR до CU9: Hotfix 19.12.9100.6
- Citrix Virtual Apps and Desktops 2203 LTSR до CU5: Hotfix 22.03.5100.11
- Citrix Virtual Apps and Desktops 2402 LTSR до CU1: Hotfix 24.02.1200.16
- CVE-2024-8068 (оценка CVSS: 5.1): уязвимость повышения привилегий для доступа к учётной записи NetworkService. Требуется аутентификация в той же доменной сети Active Directory, что и сервер записи сессий.
- CVE-2024-8069 (оценка CVSS: 5.1): ограниченная (Limited) RCE-уязвимость, требующая доступа к NetworkService и аутентификации во внутренней сети жертвы.