Se invita a la RSSI con el servicio de virtualización de la estación de trabajo Citrix en su entorno para corregir dos fallas que un pirata autenticado podría usar para aumentar sus privilegios y ejecutar código remoto. Los investigadores de WatchToWr, en el origen del descubrimiento, advierten contra la posible explotación de una "instancia de MSMQ (cola de mensajes de Microsoft) expuestas sin precaución" a través de HTTP, lo que puede conducir a la ejecución de código remoto no autenticado contra la aplicación. "Parece haber un desacuerdo entre Citrix y WatchTowr sobre la gravedad de la vulnerabilidad", dijo Michelle Abraham, directora de investigación del grupo de seguridad y confianza de IDC. "Pero la ejecución del código remoto debe tomarse en serio".

Índice
  1. Arreglos disponibles
  2. Otro defecto de descubrimiento

Arreglos disponibles

En un boletín de seguridad publicado el martesCitrix "Recomienda encarecidamente que la sesión de grabación de Citrix para instalar las actualizaciones correspondientes tan pronto como se permita su calendario de actualización". Se preocupan dos fallas: la primera, referenciada CVE-2024-8068, cuya puntuación CVSS es 5.1, puede causar una escalada de privilegios hacia el acceso a la cuenta de servicio de red; El segundo CVE-2024-8069 referenciado, con la misma puntuación CVSS de 5.1, puede conducir a una ejecución de código de distancia limitada con acceso a la cuenta NetworkService. Las correctas están disponibles para la versión actual y las versiones LTS. "El RSSI debe verificar si usan esta aplicación en sus entornos de TI y determinar si la falla tiene un riesgo", aconsejó la Sra. Abraham, en particular si se usa en activos críticos para la empresa.

La criticidad debe tenerse en cuenta en la priorización de la remediación. "Cada entorno de TI es diferente, los riesgos y prioridades también son diferentes. Es necesario tener una solución de gestión de vulnerabilidad capaz de establecer prioridades y monitorear el proceso de remediación para administrar los CVE que probablemente estén presentes en el entorno de TI de la empresa", agregó. "Se publicaron 29,004 grabaciones de CVE en los primeros tres trimestres del año 2024, más que para el total de 2023". Las vulnerabilidades se encuentran en la función de sesión de registro de sesión de las aplicaciones y escritorios virtuales de Citrix, que le ofrece proporcionar una oficina de trabajo segura en cualquier terminal utilizado por un empleado o un socio aprobado. La grabación de sesión crea un video de los movimientos de teclado y mouse que los administradores o la asistencia de TI pueden usar para fines de vigilancia, cumplimiento y solución de problemas. Los videos se almacenan en un archivo en la base de datos de Citrix Server. La aplicación incluye el Administrador de almacenamiento para la sesión de Session Recording Storage Manager, que es un servicio de Windows.

Otro defecto de descubrimiento

Pero eso no es todo: los investigadores de WatchToWr también descubrieron un defecto, descrito en un blog. El administrador de almacenamiento de almacenamiento de almacenamiento Manager de almacenamiento recibe archivos a través de Microsoft Message Queing (MSMQ) y utiliza un proceso de serialización para convertir los datos de registro de sesión en un formulario que puede interpretar los procesos de Windows. La API de serialización autoriza varios permisos de "críticas", comentó WatchToWr, incluido el acceso al control total a casi todos los usuarios autenticados. Además, según los investigadores, Citrix utiliza la información binaria .NET para la desialización. "Hemos sabido durante mucho tiempo que el uso de una forma binaria para la desialización es casi siempre peligroso", dijo el informe. "Expone muchas características a cualquiera que pueda proporcionarle mensajes e, incluso si se puede usar de manera segura, su uso es tan penalizante que Microsoft dice que no debe usarse". El informe cita Un documento de Microsoft publicado en julio Cetail Los riesgos vinculados al uso de BinaryFormatter, en el que se escribe que no se recomienda para el procesamiento de datos.

Mientras que MSMQ generalmente se puede acceder a través del puerto TCP 1801, que no está abierto de forma predeterminada en un entorno Citrix, un error en MSMQ, referenciado CVE-2024-21554, permite el acceso a MSMQ a través de HTTP. Desafortunadamente, por cualquier motivo, el soporte HTTP se activa cuando se instalan aplicaciones virtuales y escritorio. Los administradores que saben cómo resolver este problema pueden desmarcar esta opción en la lista del menú de mensajes de cola de aplicaciones. Según todos estos datos, los investigadores de WatchToWr han creado una prueba de concepto de hazaña que, según ellos, podría ser utilizada por un actor de amenaza. "No es realmente un error en el formato binario en sí, ni un error en MSMQ", dijo WatchToWr ", sino más bien una consecuencia desafortunada vinculada al hecho de que Citrix se basó en la forma binaria documentada como no garantizada para mantener un borde de seguridad. Este error apareció durante la fase de diseño, cuando Citrix cio la biblioteca de serialización para usar.