محققان امنیت سایبری، آسیب پذیریهای جدیدی را شناسایی کردهاند که بر برنامههای مجازی و دسکتاپ Citrix تأثیر میگذارند و میتوانند برای دستیابی به اجرای کد از راه دور (RCE) مورد سوء استفاده قرار گیرند. این آسیب پذیریها، طبق یافتههای watchTowr، ریشه در کامپوننت Session Recording دارند که به مدیران سیستم اجازه میدهند تا فعالیت کاربر را ضبط و ورودی صفحه کلید و ماوس را به همراه یک فیلم ویدیویی از دسکتاپ برای اهداف ممیزی، انطباق و عیب یابی ذخیره کنند.
WatchTowr در ماه ژوئیه این باگها را کشف و به Citrix گزارش کرده است و آنها را ناشی از ضعف در نحوه deserialization یا عدم دنبال سازی Session Recording Manager یا بازگشایی دادههای تبدیل شده به فرمتی که ذخیره و انتقال آنها را ساده میکند، میداند.
مشکل اصلی، Session Recording Storage Manager است؛ یک سرویس ویندوز که فایلهای نشست ضبط شده دریافت شده از هر رایانهای را که این ویژگی را فعال کرده است، مدیریت میکند.
برنامه Citrix از سرویس صف پیام مایکروسافت (MSMQ) برای دریافت فایلهای نشست ضبط شده کاربر و ذخیره آنها در یک کامپوننت مدیریت ذخیرهسازی جداگانه استفاده میکند.
علاوه بر این، WatchTowr متوجه شد که Citrix از یکی از فناوریهای مایکروسافت به نام BinaryFormatter نیز استفاده میکند تا در صورت نیاز، دادهها را در کامپوننت مدیریت ذخیرهسازی، deserialize کند.
این آسیب پذیریها از ترکیب یک نمونه MSMQ با مجوزهای پیکربندی اشتباه برای اجرای کد از راه دور استفاده میکنند و پیامد اتکای Citrix به BinaryFormatter میباشد.
شایان ذکر است که مایکروسافت از توسعه دهندگان خواسته است که استفاده از BinaryFormatter را برای deserialization متوقف سازند، زیرا این روش هنگام استفاده با ورودی نامعتبر، ایمن نخواهد بود. به گفته مایکروسافت، BinaryFormatter.Deserialize ممکن است در برابر سایر حملات مانند افشای اطلاعات نیز آسیب پذیر باشد.
جزئیات آسیب پذیریها به شرح زیر میباشد:
- CVE-2024-8068 (امتیاز CVSS: 5.1) – افزایش سطح دسترسی برای دسترسی به اکانت NetworkService
- CVE-2024-8069 (امتیاز CVSS: 5.1) – یک اجرای کد از راه دور محدود با سطح دسترسی به اکانت NetworkService
به گفته Citrix، اکسپلویت موفق این دو آسیب پذیری مستلزم دسترسی احراز هویت شده به همان دامنه اکتیو دایرکتوری ویندوز است که فعالیت ضبط و ذخیره نشست کاربر صورت میپذیرد. اما محققان watchTowr یک PoC برای این دو آسیب پذیری منتشر کردهاند و مدعی هستند که این آسیب پذیریها point-and-click میباشند و یک مهاجم احراز هویت نشده نیز میتواند با سهولت نسبی از آنها سوء استفاده کند.
این آسیب پذیریها در نسخههای زیر پچ شدهاند:
- Citrix Virtual Apps and Desktops 2407 hotfix 24.5.200.8
- Citrix Virtual Apps and Desktops 1912 LTSR CU9 hotfix 19.12.9100.6
- Citrix Virtual Apps and Desktops 2203 LTSR CU5 hotfix 22.03.5100.11
- Citrix Virtual Apps and Desktops 2402 LTSR CU1 hotfix 24.02.1200.16
بسیاری از سازمانها از فناوری برنامههای مجازی و دسکتاپ Citrix استفاده میکنند تا کاربران بتوانند از هر کجا و با استفاده از هر دستگاهی به برنامهها و محیطهای دسکتاپ خود دسترسی داشته باشند. این فناوری به سازمانها امکان میدهد تا همه برنامههای کاربر را از یک مکان واحد بهطور متمرکز استقرار، به روزرسانی و ایمن کنند و تعمیر و نگهداری کارآمد، سازگار و مقرون به صرفهتر داشته باشند.
مزیت دیگری که Citrix دارد، افزایش امنیت ناشی از داشتن برنامهها و دادهها در سرورهای متمرکز به جای دستگاههای Endpoint منفرد است. ویژگی Session Recording این فناوری به مدیران امکان میدهد تا بر رفتارهای غیرعادی نظارت کنند و یک رکورد دقیق از فعالیت کاربر برای اهداف ممیزی و عیبیابی داشته باشند.
تقاضا برای چنین فناوریهایی در سالهای اخیر افزایش یافته است زیرا شرکتهای بیشتری از مدلهای کار از راه دور و هیبریدی (ترکیبی) استقبال کردهاند.
گروه نرم افزاری Cloud از مشتریان آسیب پذیر Citrix درخواست کرده است تا فورا نسخههای به روزرسانی را دریافت و نصب کنند.