16.11.2024 | Системные привилегии за один запрос: хакеры взломали защиту Citrix |
Специалисты watchTowr опубликовали доказательство концепции ( PoC ) для эксплуатации RCE-уязвимости в Citrix Virtual Apps and Desktops. Ошибка позволяет получить системные привилегии, отправив всего один HTTP-запрос, что открывает доступ к инфраструктуре виртуальных рабочих столов (VDI) Citrix. Хотя Citrix уже выпустила исправления и призывает пользователей установить их, компания настаивает на том, что обнаруженная уязвимость не является «неаутентифицированной RCE». Представители Citrix утверждают, что для эксплуатации необходимо быть авторизованным пользователем с доступом от имени NetworkService. Однако watchTowr не согласна с этой оценкой, заявляя, что проблема намного серьёзнее: уязвимость позволяет злоумышленнику получить системные привилегии на сервере, который управляет всеми приложениями и сессиями пользователей. Это позволяет атакующему подменять пользователей, включая администраторов, и незаметно отслеживать их действия. Уязвимость обнаружена в модуле Session Recording Manager, который записывает видеопоток пользовательских сессий, а также фиксирует нажатия клавиш и движения мыши в целях мониторинга и диагностики. Сессии отправляются на сервер и хранятся в базе данных с использованием службы Microsoft Message Queuing ( MSMQ ). Исследователи выявили, что процесс инициализации очередей в MSMQ имеет чрезмерно открытые разрешения, что позволяет любому вставлять сообщения. Более серьёзная проблема связана с использованием устаревшего и небезопасного класса BinaryFormatter для десериализации данных. В документации Microsoft прямо указано, что BinaryFormatter «опасен и не рекомендуется к использованию». Эксплуатация уязвимости возможна с помощью простого HTTP-запроса, хотя доступ к MSMQ обычно осуществляется через TCP-порт 1801. Специалисты были удивлены тем, что Citrix включила поддержку MSMQ по HTTP, хотя для функциональности продукта это не требуется. После публикации PoC, Citrix оперативно выпустила рекомендации и обновления для устранения уязвимости. Исправления касаются следующих версий:
Компания присвоила уязвимостям два CVE-идентификатора:
Citrix утверждает, что для эксплуатации уязвимостей необходимы дополнительные условия и аутентификация, что значительно снижает их опасность. Однако watchTowr продолжает настаивать на своём, утверждая, что PoC демонстрирует гораздо более серьёзные последствия. |
Проверить безопасность сайта