watchTowr 的安全研究人员在 Citrix 会话记录管理器中发现了两个关键漏洞,如果将这两个漏洞串联起来,就可以在 Citrix 虚拟应用程序和桌面上执行未经验证的远程代码 (RCE)。这一发现引起了依赖这些平台的企业的严重关切,因为攻击者可以利用这些漏洞完全控制易受攻击的系统。
这些漏洞被追踪为CVE-2024-8068和CVE-2024-8069,源于权限配置错误的Microsoft Message Queuing(MSMQ)实例的暴露和不安全BinaryFormatter类的使用。这使得攻击者可以从任何主机通过 HTTP 访问有漏洞的 MSMQ 服务,并以 NetworkService 账户的权限执行任意代码。
watchTowr 安全研究员 Sina Kheirkhah 解释说:“一个不小心暴露的 MSMQ 实例可以通过 HTTP 被利用,对 Citrix 虚拟应用程序和桌面执行未经验证的 RCE。”
不过,思杰强调,利用这些漏洞需要攻击者拥有对 Windows Active Directory 域的认证访问权限,并且与目标会话记录服务器位于同一内网上。
Kheirkhah在其博客上发布了对这些漏洞的详细技术分析,并在GitHub上发布了概念验证利用代码,进一步强调了解决这些漏洞的紧迫性。
针对这些发现,思杰发布了安全公告,并敦促客户尽快将会话记录管理器更新到最新的修补版本。受影响的版本包括
- Citrix Virtual Apps and Desktops 2407 hotfix 24.5.200.8之前的版本
- Citrix Virtual Apps and Desktops 1912 LTSR before CU9 hotfix 19.12.9100.6
- Citrix 虚拟应用程序和桌面 2203 CU5 前的 LTSR 热修复程序 22.03.5100.11
- Citrix 虚拟应用程序和桌面 2402 CU1 补丁前的 LTSR 24.02.1200.16
微软自己也承认 BinaryFormatter 固有的不安全性,建议将其淘汰,转而使用更安全的替代程序。
Citrix 的会话记录管理器通常被管理员用于 Citrix 虚拟应用程序和桌面的审计、合规性和故障排除。该工具记录用户活动,包括键盘和鼠标输入以及桌面会话视频。如果该漏洞被利用,攻击者就可以在未经授权的情况下访问敏感的用户数据,甚至篡改会话记录,给企业带来严重的隐私和合规问题。
强烈建议使用 Citrix 虚拟应用程序和桌面的企业优先为其系统打补丁,以降低潜在的攻击风险。延迟这些更新可能会使它们遭受严重的安全漏洞和运营中断。