1. Описание зафиксированной угрозы

[Название угрозы]: Уязвимость в продукте Citrix Virtual Apps and Desktops.

[Тип угрозы]: повышение привилегий, удаленное выполнение кода (RCE).

[CVE]: CVE-2024-8068 и CVE-2024-8069

[CVSS vector]: (CVSS:4.0/AV:A/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:L/SI:L/SA:L) и (CVSS:4.0/AV:A/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N)

[CVSS v4.0 Severity]: 5,1

[Platform]: Citrix

[Product]: Citrix Virtual Apps and Desktops (Citrix Session Recording)

[Version]:

  • Citrix Virtual Apps and Desktops до 2407 hotfix 24.5.200.8
  • Citrix Virtual Apps and Desktops 1912 LTSR до CU9 hotfix 19.12.9100.6
  • Citrix Virtual Apps and Desktops 2203 LTSR до CU5 hotfix 22.03.5100.11
  • Citrix Virtual Apps and Desktops 2402 LTSR до CU1 hotfix 24.02.1200.16

[Дата обнаружения (без публикации)]: 14/07/2024

[Дата публикации в открытом доступе]: 12/11/2024

12.11.2024 исследователи из WatchТowr опубликовали PoC – эксплойт для эксплуатации уязвимости в инструменте Citrix Session Recording, который позволяет выполнять произвольные команды в целевой системе.

2. Описание уязвимости

Citrix Virtual Apps and Desktops — решение виртуализации от Citrix, которое предоставляет пользователям возможность централизованного управления и развертывания приложений и удаленных рабочих столов. Для мониторинга и анализа действий пользователей в приложениях и на рабочих столах используется инструмент Citrix Session Recording.

Архитектура взаимодействия между Citrix Session Recording и Citrix Virtual Apps and Desktops включает в себя сервер записи сеансов Session Recording Server, который может находиться как на отдельной машине, так и совместно с Citrix Virtual Apps and Desktop. Записанные сеансы хранятся в базе данных, подключенной к Session Recording Server.

Проведенный WatcТhowr анализ позволяет выделить три аспекта, дающих возможность реализовать RCE-уязвимость:

  • Для работы с данными записанных сеансов используется механизм MSMQ (Microsoft Message Queuing). В одном из методов, отвечающих за работу с очередями, WatchТowr выявили проблему с установкой разрешений. Устанавливаемые по умолчанию разрешения позволяют помещать сообщения в очередь, которые затем будут переданы в дальнейшую обработку.
  • Для работы механизма MSMQ и помещения данных в очередь для передачи используется процесс сериализации данных. При обратном процессе преобразования данных — десериализации бинарных данных записанных сеансов используется класс BinaryFormatter. По информации Microsoft, класс .NET BinaryFormatter не рекомендуется использовать в связи с рисками безопасности.
  • Существует возможность взаимодействия с MSMQ несколькими способами. MSMQ доступен по порту 1801/TCP, однако по умолчанию доступ закрыт. Начиная с MSMQ v3, появилась поддержка через протокол HTTP, которая остается активной по умолчанию при установке Citrix Virtual Apps and Desktop. Доступ остается не только локально, но и с любого хоста по HTTP.
Данные недостатки в программной архитектуре решения Citrix позволили WatchТowr реализовать PoC RCE-эксплойт для демонстрации возможности удаленного выполнения команд.

3. Сведения о CVE

Уязвимость в инструменте записи экранов Citrix Session Recording.

Согласно данным о CVE от Citrix:

CVE-2024-8068

Условие реализации: для эксплуатации уязвимости злоумышленник должен быть аутентифицированным пользователем в том же домене Windows Active Directory, что и домен сервера записи сеанса.

Оказываемое воздействие: повышение привилегий.

Индикатор CWE: CWE-269: некорректное управление привилегиями.

CVE-2024-8069

Условие реализации: злоумышленник должен быть аутентифицированным пользователем в той же интрасети, что и сервер записи сеанса.

Оказываемое воздействие: возможность удаленного выполнения кода.

Индикатор CWE: CWE-269: десериализация ненадежных данных.

4. Рекомендации по устранению

Для устранения данной уязвимости рекомендуется выполнить установку соответствующих обновлений для Citrix Session Recording.

Ниже предоставлен список ссылок на актуальные версии обновлений, которые на текущий момент рекомендует использовать Citrix:

Citrix Virtual Apps and Desktops 2407 hotfix 24.5.200.8 - https://support.citrix.com/article/CTX692047

Citrix Virtual Apps and Desktops 1912 LTSR CU9 hotfix 19.12.9100.6 - https://support.citrix.com/article/CTX692044

Citrix Virtual Apps and Desktops 2203 LTSR CU5 hotfix 22.03.5100.11 - https://support.citrix.com/article/CTX692045

Citrix Virtual Apps and Desktops 2402 LTSR CU1 hotfix 24.02.1200.16 - https://support.citrix.com/article/CTX692046

Если используются уязвимые версии, Jet CSIRT рекомендует оперативно принять необходимые меры для исправления (расставлены по приоритетности):

  • Установить обновления с исправлениями;
  • Использование RSA-ключей для подключения к Citrix.
  • Если существует прямой доступ к Citrix из сети Интернет, то мы рекомендуем ограничить доступ к терминальным приложениям Citrix, разрешить подключение только через корпоративный VPN (желательно с 2FA, по нашей информации, на текущий момент доступ осуществляется через F5);
  • Также мы рекомендуем обеспечить подключение только через reverse proxy.

5. Ссылки