Системные привилегии за один запрос: хакеры взломали защиту Citrix

Специалисты watchTowr опубликовали доказательство концепции (PoC) для эксплуатации RCE-уязвимости в Citrix Virtual Apps and Desktops. Ошибка позволяет получить системные привилегии, отправив всего один HTTP-запрос, что открывает доступ к инфраструктуре виртуальных рабочих столов (VDI) Citrix.

Хотя Citrix уже выпустила исправления и призывает пользователей установить их, компания настаивает на том, что обнаруженная уязвимость не является «неаутентифицированной RCE». Представители Citrix утверждают, что для эксплуатации необходимо быть авторизованным пользователем с доступом от имени NetworkService.

Однако watchTowr не согласна с этой оценкой, заявляя, что проблема намного серьёзнее: уязвимость позволяет злоумышленнику получить системные привилегии на сервере, который управляет всеми приложениями и сессиями пользователей. Это позволяет атакующему подменять пользователей, включая администраторов, и незаметно отслеживать их действия.

Уязвимость обнаружена в модуле Session Recording Manager, который записывает видеопоток пользовательских сессий, а также фиксирует нажатия клавиш и движения мыши в целях мониторинга и диагностики. Сессии отправляются на сервер и хранятся в базе данных с использованием службы Microsoft Message Queuing (MSMQ).

Исследователи выявили, что процесс инициализации очередей в MSMQ имеет чрезмерно открытые разрешения, что позволяет любому вставлять сообщения. Более серьёзная проблема связана с использованием устаревшего и небезопасного класса BinaryFormatter для десериализации данных. В документации Microsoft прямо указано, что BinaryFormatter «опасен и не рекомендуется к использованию».

Эксплуатация уязвимости возможна с помощью простого HTTP-запроса, хотя доступ к MSMQ обычно осуществляется через TCP-порт 1801. Специалисты были удивлены тем, что Citrix включила поддержку MSMQ по HTTP, хотя для функциональности продукта это не требуется.

После публикации PoC, Citrix оперативно выпустила рекомендации и обновления для устранения уязвимости. Исправления касаются следующих версий:

• Citrix Virtual Apps and Desktops до версии 2407: Hotfix 24.5.200.8
• Citrix Virtual Apps and Desktops 1912 LTSR до CU9: Hotfix 19.12.9100.6
• Citrix Virtual Apps and Desktops 2203 LTSR до CU5: Hotfix 22.03.5100.11
• Citrix Virtual Apps and Desktops 2402 LTSR до CU1: Hotfix 24.02.1200.16

Компания присвоила уязвимостям два CVE-идентификатора:

• CVE-2024-8068 (оценка CVSS: 5.1): уязвимость повышения привилегий для доступа к учётной записи NetworkService. Требуется аутентификация в той же доменной сети Active Directory, что и сервер записи сессий.
• CVE-2024-8069 (оценка CVSS: 5.1): ограниченная (Limited) RCE-уязвимость, требующая доступа к NetworkService и аутентификации во внутренней сети жертвы.

Citrix утверждает, что для эксплуатации уязвимостей необходимы дополнительные условия и аутентификация, что значительно снижает их опасность. Однако watchTowr продолжает настаивать на своём, утверждая, что PoC демонстрирует гораздо более серьёзные последствия.