Citrix’in Oturum Kayıt Yöneticisindeki yamalı bir sıfır gün güvenlik açığı, kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine olanak tanır (RCE, veri hırsızlığının, yanal hareketin ve masaüstünün ele geçirilmesinin önünü açar).
WatchTowr’un bugün yaptığı araştırmaya göre, sorun (henüz bir CVE veya CVSS puanı) Citrix’in Oturum Kayıt Yöneticisi’nde bulunur ve adından da anlaşılacağı gibi klavye ve fare girişleri, ziyaret edilen web siteleri, masaüstü etkinliğinin video akışları ve daha fazlası dahil olmak üzere kullanıcı etkinliğini kaydeder.
“Citrix, bu özelliğin izleme (biraz açık bir şekilde) ve aynı zamanda uyumluluk ve sorun giderme açısından gerçekten yararlı olduğunu tanıtıyor. Hatta belirli eylemlerin (hassas verileri tanımlamak gibi) kaydı tetiklemesini sağlayacak şekilde de ayarlanabilir, bu da düzenleme ihtiyaçlarının karşılanmasına ve işaretlemeye yardımcı olur watchTowr araştırmacıları şüpheli faaliyetler” dedi. rapor.
Bu özellik, oturum kayıtlarını, bireysel bilgisayarlardan merkezi depolamaya verimli veri aktarımına olanak tanıyan Microsoft Messenger Queuing (MSMQ) aracılığıyla günlüğe kaydeder. Ancak Citrix uygulaması, daha kolay ve daha doğru aktarım ve depolama amacıyla bilgilerin serileştirilmesi ve seri durumdan çıkarılması için BinaryFormatter’ı kullanır. Yardımcı program ne yazık ki iyi biliniyor güvensiz olmak.
BinaryFormatter, Microsoft tarafından oluşturulan ve kullanımdan kaldırılma sürecinde olan bir .NET sınıfıdır: “BinaryFormatter güvensizdir ve güvenli hale getirilemez. Uygulamaların kullanımı durdurulmalıdır. [it] Bilgi işlem devi, işledikleri verilerin güvenilir olduğuna inansalar bile mümkün olan en kısa sürede söz konusu ağustos ayında.
BinaryFormatter sorununun yanı sıra, Recording Session Manager ayrıca herhangi bir ana bilgisayardan HTTP aracılığıyla erişilebilen açıkta kalan bir MSMQ hizmetini de içerir. Bu, watchTowr’un yanlış yapılandırılmış izinler olduğunu söylediği şeylerle birleştiğinde, kimliği doğrulanmamış RCE’nin önünü açıyor.
Dark Reading, hem watchTowr hem de Citrix’ten yorum ve planlı yama veya hafifletme bilgileri almak için iletişime geçti. Henüz vahşi doğada sömürüldüğüne dair bir kanıt yok, ancak verilen Bir siber suç hedefi olarak Citrix’in çekiciliğiBu yakında değişebilir.