خانه » شرکت Citrix، دو آسیب پذیری RCE را در کامپوننت Session Recording پچ کرد!

شرکت Citrix، دو آسیب پذیری RCE را در کامپوننت Session Recording پچ کرد!

توسط Vulnerbyt_News
گروه vulnerbyte - گروه والنربایت -vulnerbyte group - کامپوننت Session Recording در Citrix

محققان امنیت سایبری، آسیب پذیری‌های جدیدی را شناسایی کرده‌اند که بر برنامه‌های مجازی و دسکتاپ Citrix تأثیر می‌گذارند و می‌توانند برای دستیابی به اجرای کد از راه دور (RCE) مورد سوء استفاده قرار گیرند. این آسیب پذیری‌ها، طبق یافته‌های watchTowr، ریشه در کامپوننت Session Recording دارند که به مدیران سیستم اجازه می‌دهند تا فعالیت کاربر را ضبط و ورودی صفحه کلید و ماوس را به همراه یک فیلم ویدیویی از دسکتاپ برای اهداف ممیزی، انطباق و عیب یابی ذخیره کنند.

WatchTowr در ماه ژوئیه این باگ‌ها را کشف و به Citrix گزارش کرده است و آن‌ها را ناشی از ضعف در نحوه deserialization یا عدم دنبال سازی Session Recording Manager  یا بازگشایی داده‌های تبدیل شده به فرمتی که ذخیره و انتقال آنها را ساده می‌کند، می‌داند.

مشکل اصلی، Session Recording Storage Manager است؛ یک سرویس ویندوز که فایل‌های نشست ضبط شده دریافت شده از هر رایانه‌ای را که این ویژگی را فعال کرده است، مدیریت می‌کند.

برنامه Citrix از سرویس صف پیام مایکروسافت (MSMQ) برای دریافت فایل‌های نشست ضبط‌ شده کاربر و ذخیره آن‌ها در یک کامپوننت مدیریت ذخیره‌سازی جداگانه استفاده می‌کند.

 علاوه بر این، WatchTowr متوجه شد که Citrix  از یکی از فناوری‌های مایکروسافت به نام BinaryFormatter نیز استفاده می‌کند تا در صورت نیاز، داده‌ها را در کامپوننت مدیریت ذخیره‌سازی، deserialize  کند.

این آسیب‌ پذیری‌ها از ترکیب یک نمونه MSMQ با مجوزهای پیکربندی اشتباه برای اجرای کد از راه دور استفاده می‌کنند و پیامد اتکای Citrix به BinaryFormatter می‌باشد.

شایان ذکر است که مایکروسافت از توسعه دهندگان خواسته است که استفاده از BinaryFormatter را برای deserialization متوقف سازند، زیرا این روش هنگام استفاده با ورودی نامعتبر، ایمن نخواهد بود. به گفته مایکروسافت، BinaryFormatter.Deserialize ممکن است در برابر سایر حملات مانند افشای اطلاعات نیز آسیب پذیر باشد.

جزئیات آسیب پذیری‌ها به شرح زیر می‌باشد:

  • CVE-2024-8068 (امتیاز CVSS: 5.1) – افزایش سطح دسترسی برای دسترسی به اکانت NetworkService
  • CVE-2024-8069 (امتیاز CVSS: 5.1) – یک اجرای کد از راه دور محدود با سطح دسترسی به اکانت NetworkService

به گفته Citrix، اکسپلویت موفق این دو آسیب پذیری مستلزم دسترسی احراز هویت شده به همان دامنه اکتیو دایرکتوری ویندوز است که فعالیت ضبط و ذخیره نشست کاربر صورت می‌پذیرد. اما محققان watchTowr یک PoC برای این دو آسیب پذیری منتشر کرده‌اند و مدعی هستند که این آسیب پذیری‌ها point-and-click می‌باشند و یک مهاجم احراز هویت نشده نیز می‌تواند با سهولت نسبی از آنها سوء استفاده کند.

این آسیب پذیری‌ها در نسخه‌های زیر پچ شده‌اند:

بسیاری از سازمان‌ها از فناوری برنامه‌های مجازی و دسکتاپ Citrix استفاده می‌کنند تا کاربران بتوانند از هر کجا و با استفاده از هر دستگاهی به برنامه‌ها و محیط‌های دسکتاپ خود دسترسی داشته باشند. این فناوری به سازمان‌ها امکان می‌دهد تا همه برنامه‌های کاربر را از یک مکان واحد به‌طور متمرکز استقرار، به ‌روزرسانی و ایمن کنند و تعمیر و نگهداری کارآمد، سازگار و مقرون ‌به ‌صرفه‌تر داشته باشند.

 مزیت دیگری که Citrix دارد، افزایش امنیت ناشی از داشتن برنامه‌ها و داده‌ها در سرورهای متمرکز به جای دستگاه‌های Endpoint منفرد است. ویژگی Session Recording این فناوری به مدیران امکان می‌دهد تا بر رفتارهای غیرعادی نظارت کنند و یک رکورد دقیق از فعالیت کاربر برای اهداف ممیزی و عیب‌یابی داشته باشند.

تقاضا برای چنین فناوری‌هایی در سال‌های اخیر افزایش یافته است زیرا شرکت‌های بیشتری از مدل‌های کار از راه دور و هیبریدی (ترکیبی) استقبال کرده‌اند.

گروه نرم ‌افزاری Cloud از مشتریان آسیب‌ پذیر Citrix  درخواست کرده است تا فورا نسخه‌های به‌ روزرسانی را دریافت و نصب کنند.

 

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید