Citrix ve watchTowr’daki güvenlik araştırmacıları Salı günü Citrix Session Recording’de bir saldırganın sistemin kontrolünü ele geçirmesine olanak verebilecek güvenlik kusurları konusunda uyardı.
Güvenlik açıkları şunları içerir: CVE-2024-8068NetworkService Hesabı erişimine erişime izin veren bir ayrıcalık yükseltmesi ve CVE-2024-8069sınırlı uzaktan kod yürütülmesine olanak tanıyan NetworkService hesabına erişim ayrıcalığı.
WatchTowr’daki araştırmacılar şunları söyledi: kusur keşfedildi Firmanın dahili güvenlik açıkları ve istismar geliştirme konusunda devam eden araştırmasının bir parçası olarak.
watchTowr CEO’su Benjamin Harris, e-posta yoluyla şunları söyledi: “Temelde, Citrix çözümü, Microsoft tarafından sağlanan, güvenli olmadığı bilinen ve Microsoft’un açıkça güvenli hale getirilemeyeceğini belirttiği bir .NET işlevini kullanarak güvenilmeyen kullanıcı verilerini seri durumdan çıkarır.” “Kullanıcı verileri Citrix tarafından, bu çözümün çalışması için internete açık olacak şekilde tasarlanmış ağ hizmetleri aracılığıyla İnternet üzerinden erişebildiğimiz bir MSMQ kuyruğu aracılığıyla alınıyor.”
Microsoft uyarıyor BinaryFormatter türü tehlikeli kabul ediliyor ve seri durumdan çıkarma güvenlik açıklarından yararlanan saldırganların, hedeflenen uygulama içinde hizmet reddine, bilgilerin açığa çıkmasına veya uzaktan kod yürütülmesine neden olabileceğini söylüyor.
Araştırmacılar, Shadowserver’ın doğu saatiyle 11:00’den (16:00 UTC) başlayarak konseptin kanıtına dayalı tehdit faaliyeti görmeye başladığını söyledi X’teki bir gönderide. Shadowserver, saldırganların kimliğinin doğrulanması gerekip gerekmediği konusundaki anlaşmazlığı kabul etti ancak kullanıcıları yine de Citrix Session Recording’in daha güvenli bir sürümüne hemen yükseltme yapmaya çağırdı.
Citrix’in ana şirketi Cloud Software Group, Citrix Session Recording kullanıcılarını yazılımlarını mümkün olan en kısa sürede yükseltmeye çağırdı. Siber Güvenlik ve Altyapı Güvenliği Ajansı ayrıca sağlayıcıları bülteni incelemeye ve gerekli yükseltmeleri uygulamaya teşvik etti.
WatchTowr’daki araştırmacılar kusuru ilk olarak Temmuz ortasında açıkladılar; Citrix, Ağustos başında kusuru yeniden üretemeyeceklerini söyleyerek yanıt verdi ve watchTowr ardından şirkete bir kavram kanıtı ve bir video sağladı.
Citrix bir güvenlik bülteni yayınladı ve watchTowr, Salı günü kapsamlı bir blog yayınladı; bu, üzerinde ortaklaşa kararlaştırılan bir açıklama tarihiydi. Ancak, bir saldırganın erişim elde etmek için kimliğinin doğrulanmasının gerekip gerekmediğiyle ilgili önemli bir sorun üzerinde bir anlaşmazlık ortaya çıktı.
Harris, Cybersecurity Dive’a Çarşamba günü yaptığı açıklamada, “Citrix’in neden bu güvenlik açığının doğrulanmamış doğasına ve kullanım yollarına karşı çıktığı belli değil” dedi. Bulut Hizmet Grubu sözcüsü Salı günü kimlik doğrulama sorunu sorulduğunda, şirketin güvenlik ekibinin yaptığı analize göre bir saldırganın erişim elde edebilmesi için kimliğinin doğrulanması gerektiğini söyledi.