CVE-2024-8068 & CVE-2024-8069:Citrix Session Recording Manager未经身份验证的RCE漏洞公开可用

阅读量36008

发布时间 : 2024-11-13 11:18:42

x
译文声明

本文是翻译文章,文章原作者 do son,文章来源:securityonline

原文地址:https://securityonline.info/cve-2024-8068-cve-2024-8069-citrix-session-recording-manager-unauthenticated-rce-exploits-publicly-available/

译文仅供参考,具体内容表达以及含义原文为准。

CVE-2024-8068 & CVE-2024-8069

watchTowr 的安全研究人员在 Citrix 会话记录管理器中发现了两个关键漏洞,如果将这两个漏洞串联起来,就可以在 Citrix 虚拟应用程序和桌面上执行未经验证的远程代码 (RCE)。这一发现引起了依赖这些平台的企业的严重关切,因为攻击者可以利用这些漏洞完全控制易受攻击的系统。

这些漏洞被追踪为CVE-2024-8068CVE-2024-8069,源于权限配置错误的Microsoft Message Queuing(MSMQ)实例的暴露和不安全BinaryFormatter类的使用。这使得攻击者可以从任何主机通过 HTTP 访问有漏洞的 MSMQ 服务,并以 NetworkService 账户的权限执行任意代码。

watchTowr 安全研究员 Sina Kheirkhah 解释说:“一个不小心暴露的 MSMQ 实例可以通过 HTTP 被利用,对 Citrix 虚拟应用程序和桌面执行未经验证的 RCE。”

不过,思杰强调,利用这些漏洞需要攻击者拥有对 Windows Active Directory 域的认证访问权限,并且与目标会话记录服务器位于同一内网上。

Kheirkhah在其博客上发布了对这些漏洞的详细技术分析,并在GitHub上发布了概念验证利用代码,进一步强调了解决这些漏洞的紧迫性。

针对这些发现,思杰发布了安全公告,并敦促客户尽快将会话记录管理器更新到最新的修补版本。受影响的版本包括

  • Citrix Virtual Apps and Desktops 2407 hotfix 24.5.200.8之前的版本
  • Citrix Virtual Apps and Desktops 1912 LTSR before CU9 hotfix 19.12.9100.6
  • Citrix 虚拟应用程序和桌面 2203 CU5 前的 LTSR 热修复程序 22.03.5100.11
  • Citrix 虚拟应用程序和桌面 2402 CU1 补丁前的 LTSR 24.02.1200.16

微软自己也承认 BinaryFormatter 固有的不安全性,建议将其淘汰,转而使用更安全的替代程序。

Citrix 的会话记录管理器通常被管理员用于 Citrix 虚拟应用程序和桌面的审计、合规性和故障排除。该工具记录用户活动,包括键盘和鼠标输入以及桌面会话视频。如果该漏洞被利用,攻击者就可以在未经授权的情况下访问敏感的用户数据,甚至篡改会话记录,给企业带来严重的隐私和合规问题。

强烈建议使用 Citrix 虚拟应用程序和桌面的企业优先为其系统打补丁,以降低潜在的攻击风险。延迟这些更新可能会使它们遭受严重的安全漏洞和运营中断。

本文翻译自securityonline 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66