Специалисты watchTowr опубликовалидоказательство концепции (PoC) для эксплуатации RCE-уязвимости в Citrix Virtual Apps and Desktops. Ошибка позволяет получить системные привилегии, отправив всего один HTTP-запрос, что открывает доступ к инфраструктуре виртуальных рабочих столов (VDI) Citrix.
Хотя Citrix уже выпустила исправления и призывает пользователей установить их, компания настаивает на том, что обнаруженная уязвимость не является “неаутентифицированной RCE”. Представители Citrix утверждают, что для эксплуатации необходимо быть авторизованным пользователем с доступом от имени NetworkService.
Однако watchTowr не согласна с этой оценкой, заявляя, что проблема намного серьёзнее: уязвимость позволяет злоумышленнику получить системные привилегии на сервере, который управляет всеми приложениями и сессиями пользователей. Это позволяет атакующему подменять пользователей, включая администраторов, и незаметно отслеживать их действия.
Уязвимость обнаружена в модуле Session Recording Manager, который записывает видеопоток пользовательских сессий, а также фиксирует нажатия клавиш и движения мыши в целях мониторинга и диагностики. Сессии отправляются на сервер и хранятся в базе данных с использованием службы Microsoft Message Queuing (MSMQ).
Исследователи выявили, что процесс инициализации очередей в MSMQ имеет чрезмерно открытые разрешения, что позволяет любому вставлять сообщения. Более серьёзная проблема связана с использованием устаревшего и небезопасного класса BinaryFormatter для десериализации данных. В документацииMicrosoft прямо указано, что BinaryFormatter “опасен и не рекомендуется к использованию”.
Эксплуатация уязвимости возможна с помощью простого HTTP-запроса, хотя доступ к MSMQ обычно осуществляется через TCP-порт 1801. Специалисты были удивлены тем, что Citrix включила поддержку MSMQ по HTTP, хотя для функциональности продукта это не требуется.
После публикации PoC, Citrix оперативно выпустила рекомендациии обновления для устранения уязвимости. Исправления касаются следующих версий:
- Citrix Virtual Apps and Desktops до версии 2407: Hotfix 24.5.200.8
- Citrix Virtual Apps and Desktops 1912 LTSR до CU9: Hotfix 19.12.9100.6
- Citrix Virtual Apps and Desktops 2203 LTSR до CU5: Hotfix 22.03.5100.11
- Citrix Virtual Apps and Desktops 2402 LTSR до CU1: Hotfix 24.02.1200.16
Компания присвоила уязвимостям два CVE-идентификатора:
- CVE-2024-8068 (оценка CVSS: 5.1): уязвимость повышения привилегий для доступа к учётной записи NetworkService. Требуется аутентификация в той же доменной сети Active Directory, что и сервер записи сессий.
- CVE-2024-8069 (оценка CVSS: 5.1): ограниченная (Limited) RCE-уязвимость, требующая доступа к NetworkService и аутентификации во внутренней сети жертвы.
Citrix утверждает, что для эксплуатации уязвимостей необходимы дополнительные условия и аутентификация, что значительно снижает их опасность. Однако watchTowr продолжает настаивать на своём, утверждая, что PoC демонстрирует гораздо более серьёзные последствия.