కొత్త దోపిడీ కోడ్‌తో సిట్రిక్స్ వర్చువల్ అప్లికేషన్‌లు మరియు డెస్క్‌టాప్‌లను నమోదు చేయడానికి HTTP

పరిశోధకులు సిట్రిక్స్ అప్లికేషన్‌లు మరియు వర్చువల్ డెస్క్‌టాప్‌లలో అధీకృత రిమోట్ కోడ్ ఎగ్జిక్యూషన్ (RCE) దుర్బలత్వం అని పిలిచే ప్రూఫ్-ఆఫ్-కాన్సెప్ట్ (PoC) దోపిడీని విడుదల చేస్తున్నారు.

watchTowr ద్వారా కనుగొనబడిన దోపిడీ, కేవలం HTTP అభ్యర్థనను ఉపయోగించి, విక్రేత యొక్క వర్చువల్ డెస్క్‌టాప్ ఇన్‌ఫ్రాస్ట్రక్చర్ (VDI) ఉత్పత్తిపై దాడి చేసే సిస్టమ్ అధికారాలను మంజూరు చేస్తుంది.

Citrix హాట్ ఫిక్స్‌లను ఇన్‌స్టాల్ చేయమని వినియోగదారులను కోరింది (క్రింద చూడండి) మరియు దుర్బలత్వాన్ని “ప్రామాణీకరించని RCE”గా వర్ణించవచ్చని తిరస్కరించింది.

అయితే watchTowrలో దుర్బలత్వ పరిశోధకురాలు Sina Kheirkhah ఇలా పేర్కొంటున్నారు: “ఇది ఏదైనా VDI వినియోగదారు కోసం సిస్టమ్ అధికారాలను రూపొందించే ప్రైవేట్ బగ్, ఇది మొదట కనిపించే దానికంటే చాలా ఘోరంగా ఉంటుంది, ఎందుకంటే ఇవి అన్ని అప్లికేషన్‌లను హోస్ట్ చేసే సర్వర్‌లోని సిస్టమ్ అధికారాలు. మరియు యాక్సెస్ ‘ఉద్దేశపూర్వకం’ – దాడి చేసే వ్యక్తి నిర్వాహకులతో సహా ఏదైనా వినియోగదారు వలె నటించడానికి మరియు ప్రవర్తన మరియు కనెక్టివిటీని పర్యవేక్షించడానికి అనుమతిస్తుంది.”

ఖీర్ఖా జోడించారు: “ప్రతిదీ చాలా సమగ్రంగా మరియు పోర్టబుల్‌గా ఉన్నందున, అక్కడ నుండి వినియోగదారులను అనుకరించడం లేదా వారిని ‘అనుసరించడం’, వారి ప్రతి చర్యను చూడటం సులభం. కేంద్రీకృత పరిపాలనా వ్యవస్థ సులభంగా పనోప్టికాన్‌గా మారుతుంది.”

వర్చువల్ యాప్‌లు మరియు డెస్క్‌టాప్‌ల యొక్క సెషన్ రికార్డింగ్ మేనేజర్ ఫీచర్‌లో దుర్బలత్వం ఉంది, ఇది ఏదైనా వినియోగదారు సెషన్, కీస్ట్రోక్‌లు మరియు మౌస్ కదలికల వీడియో స్ట్రీమ్‌ను రికార్డ్ చేస్తుంది. పర్యవేక్షణ, ట్రబుల్షూటింగ్, సమ్మతి మొదలైన వాటికి అనువైనది.

వాచ్‌టౌర్ సూచించినట్లుగా సెషన్‌లు సెషన్ రికార్డింగ్ సర్వర్‌కు పంపబడతాయి, ఆపై డేటాబేస్‌లో నిల్వ చేయబడతాయి. సిట్రిక్స్ డాక్యుమెంటేషన్ ప్రకారం, ఫైల్‌లు మైక్రోసాఫ్ట్ మెసేజ్ క్యూయింగ్ (MSMQ) సర్వీస్ ద్వారా మెసేజ్ బైట్‌లుగా పంపబడతాయి.

MSMQ తప్పనిసరిగా రెండు ప్రక్రియలను క్యూ ద్వారా కమ్యూనికేట్ చేయడానికి అనుమతిస్తుంది అని ఖీర్ఖా వివరించారు, అయితే బదిలీ చేయబడిన డేటాను మరొక వైపు చదవగలిగేలా డేటా తప్పనిసరిగా సీరియల్‌గా ఉండాలి.

సీరియలైజేషన్ ప్రక్రియను పరిశోధిస్తూ, watchTowr అనేక సమస్యలను కనుగొంది. మొదటిది, తక్కువ గంభీరమైనది, క్యూ ప్రారంభ ప్రక్రియ అధిక ఓపెన్ పర్మిషన్‌లతో చిక్కుకుంది, దీని ద్వారా ఎవరైనా క్యూలో సందేశాలను చొప్పించవచ్చు.

రెండవ మరియు చెత్త సమస్య BinaryFormatter, a .లిక్విడ్ తరగతి, డీరియలైజేషన్ కోసం ఉపయోగించబడుతుంది. ఇక్కడ సమస్య ఏమిటంటే, తరగతి వాడుకలో లేనిదిగా మరియు కోలుకోలేని అసురక్షితంగా పరిగణించబడుతుంది. దీని సృష్టికర్త, మైక్రోసాఫ్ట్, దీనిని “ప్రమాదకరమైనది” అని కూడా వర్గీకరిస్తుంది.

“BinaryFormatter రకం ప్రమాదకరమైనది మరియు డేటా ప్రాసెసింగ్ కోసం సిఫార్సు చేయబడదు”, అని చెప్పారు Microsoft డాక్యుమెంటేషన్.

“అప్లికేషన్‌లు తాము ప్రాసెస్ చేస్తున్న డేటా నమ్మదగినదని వారు విశ్వసించినప్పటికీ, వీలైనంత త్వరగా BinaryFormatterని ఉపయోగించడం ఆపివేయాలి. BinaryFormatter అసురక్షితమైనది మరియు సురక్షితంగా చేయడం సాధ్యం కాదు.”

MSMQ ద్వారా యాక్సెస్ చేయబడినప్పటికీ, HTTP అభ్యర్థనను ఉపయోగించి దుర్బలత్వం యొక్క దోపిడీని చేయవచ్చు TCP పోర్ట్ 1801. Citrix HTTP ద్వారా MSMQని ఎనేబుల్ చేసిందని ఖీర్ఖా తన ఆశ్చర్యాన్ని గుర్తించాడు, ఉత్పత్తి యొక్క కార్యాచరణ ఏదీ దీనిని ఉపయోగించదు మరియు ఇది సాధారణంగా డిఫాల్ట్‌గా నిలిపివేయబడుతుంది.

“కొందరు డెవలపర్ అనుకోకుండా దీన్ని యాక్టివేట్ చేసి ఉండవచ్చు, కోడ్‌ను రాజీ చేసి దాని గురించి మరచిపోయి ఉండవచ్చు” అని అతను చెప్పాడు. “మేము మూలకారణ విశ్లేషణను సిట్రిక్స్‌కే వదిలివేస్తాము.”

Kheirkhah యొక్క బ్లాగ్ కూర్పు వివరాలు HTTP లోపాన్ని అన్వేషించడానికి మరియు మరింత లోతుగా పరిశోధన చేయడానికి ప్యాకేజీ అవసరం. కానీ ఎప్పటిలాగే, PoC కోడ్ విడుదలైనప్పుడు, సంబంధిత ప్యాచ్‌లను వీలైనంత త్వరగా వర్తింపజేయడం ఎల్లప్పుడూ మంచిది.

దీని గురించి మాట్లాడుతూ, సిట్రిక్స్ ప్రచురించింది a సెక్యూరిటీ కన్సల్టెన్సీ ఈరోజు watchTowr దానితో ప్రత్యక్ష ప్రసారం అయిన తర్వాత బ్లాగు. అతను ప్రభావితమైన సంస్కరణల కోసం అనేక హాట్‌ఫిక్స్‌లతో దోపిడీని ప్రస్తావించాడు మరియు వాటిని ఇన్‌స్టాల్ చేయమని కస్టమర్‌లను కోరారు.

• 2407కి ముందు సిట్రిక్స్ వర్చువల్ యాప్‌లు మరియు డెస్క్‌టాప్‌లు (ప్రస్తుత వెర్షన్): Hotfix 24.5.200.8

• CU9కి ముందు సిట్రిక్స్ వర్చువల్ యాప్‌లు మరియు డెస్క్‌టాప్‌లు 1912 లాంగ్ టర్మ్ సర్వీస్ విడుదల (LTSR): hotfix 19.12.9100.6

• CU5కి ముందు సిట్రిక్స్ వర్చువల్ యాప్‌లు మరియు డెస్క్‌టాప్‌లు 2203 LTSR: Hotfix 22.03.5100.11

• CU1కి ముందు సిట్రిక్స్ వర్చువల్ యాప్‌లు మరియు డెస్క్‌టాప్‌లు 2402 LTSR: Hotfix 24.02.1200.16

తలల ఘర్షణ

సిట్రిక్స్ ప్రతినిధి కూడా చెప్పారు ది రికార్డ్ దుర్బలత్వాన్ని ప్రామాణీకరించని RCEగా వర్ణించవచ్చని watchTowr యొక్క వాదనను తిరస్కరించింది.

“భద్రతా బృందం యొక్క విశ్లేషణ ఆధారంగా, ఇది ప్రమాణీకరించని RCE కాదని దయచేసి గమనించండి. ఇది ఒక నెట్‌వర్క్ సర్వీస్ ఖాతాగా మాత్రమే చేయగల ఒక ప్రామాణీకరించబడిన RCE,” అని ప్రతినిధి చెప్పారు.

సిట్రిక్స్ వాచ్‌టౌర్ పరిశోధకులతో ఎందుకు విభేదిస్తుందో వివరిస్తూ ఈ రోజు తర్వాత బ్లాగ్‌ను ప్రచురించాలని యోచిస్తోందని మాకు చెప్పబడింది. మరోవైపు, రెండో ప్రతినిధి చెప్పారు ది రికార్డ్ సిట్రిక్స్ సమస్య యొక్క తీవ్రతను తగ్గిస్తున్నట్లు విక్రేత యొక్క హెచ్చరికకు ప్రతిస్పందనగా.

“సిట్రిక్స్ ఈ దుర్బలత్వం యొక్క తీవ్రతను మధ్యస్థ ప్రాధాన్యతగా తగ్గించింది, వాస్తవానికి ఇది పాయింట్ మరియు పూర్తి నియంత్రణను తీసుకోవడానికి క్లిక్ చేయండి” అని watchTowr చెప్పారు.

Citrix దోపిడీకి అంతర్లీనంగా ఉన్న దుర్బలత్వాలకు రెండు వేర్వేరు CVE ఐడెంటిఫైయర్‌లను కేటాయించింది:

• CVE-2024-8068 (5.1 CVSSv4): NetworkService ఖాతాను యాక్సెస్ చేయడానికి ఒక ప్రత్యేక అధికార లోపం. దాడి చేసే వ్యక్తి సెషన్ రికార్డింగ్ సర్వర్ డొమైన్ వలె అదే యాక్టివ్ డైరెక్టరీ డొమైన్‌ను కూడా ప్రామాణీకరించవలసి ఉంటుంది.

• CVE-2024-8068 (5.1 CVSSv4): పరిమిత RCE లోపం. దాడి చేసే వ్యక్తికి నెట్‌వర్క్ సర్వీస్ ఖాతాకు యాక్సెస్ అవసరం మరియు బాధితుడి ఇంట్రానెట్‌లో ప్రామాణీకరించబడాలి.

సిట్రిక్స్ అందించిన దుర్బలత్వ వివరణలు వాస్తవానికి పరిశోధకులు అనుసరించిన స్వరాన్ని తగ్గిస్తాయి. దాడి చేసే వ్యక్తి మొదట అనుకున్నదానికంటే అధిగమించడానికి చాలా ఎక్కువ అడ్డంకులు ఉన్నాయని వారు సూచిస్తున్నారు.

watchTowr అని పట్టుబట్టింది మీ PoC అయితే మొదట వివరించిన విధంగా పనిచేస్తుంది. ®