Citrix bunları açıkladıktan hemen sonra yamalar yayınladı. iki güvenlik açığı Citrix Sanal Uygulamaları ve Masaüstü teknolojisi, uzaktaki bir saldırganın ayrıcalıkları yükseltmesine veya savunmasız sistemlerde kendi tercih ettiği kodu yürütmesine olanak tanıyor.
Citrix şunları açıkladı: uzaktan kod yürütme (RCE) güvenlik açıkları yalnızca daha önce kimliği doğrulanmış bir saldırganın kötüye kullanabileceği bir şey olarak. Ancak araştırmacılar WatchTowr Kusurları keşfeden ve bir kavram kanıtı istismarı (PoC) geliştiren kişi, bunun, kimliği doğrulanmamış bir saldırganın nispeten kolaylıkla yararlanabileceği bir işaretle ve tıkla güvenlik açığı olduğunu söylüyor.
Citrix, kusurlardan birini CVE-2024-8068, diğerini ise CVE-2024-8069 olarak takip ediyor.
Citrix Tehdit Önemini Küçümsüyor mu?
Kusurlar, ince istemci teknolojisinin, yöneticilerin kullanıcı oturumlarının kayıtlarını yakalamasına, saklamasına ve yönetmesine olanak tanıyan Oturum Kayıt Yöneticisi bileşenini etkiliyor. Sorunları Temmuz ayında Citrix’e bildiren watchTowr’daki araştırmacılara göre bu sorunlar, Oturum Kayıt Yöneticisinin depolamayı ve iletmeyi kolaylaştıran bir formata dönüştürülmüş verileri seri durumdan çıkarma veya paketinden çıkarma şeklindeki zayıflıktan kaynaklanıyor.
Citrix başlangıçta sorunu yeniden oluşturamadığını söyledi ancak daha sonra güvenlik satıcısının güvenlik açığı için PoC’den yararlanmasını sağlamasının ardından sorunu kabul etti.
Şirket, 12 Kasım’da yayınlanan bir danışma belgesinde, CVE-2024-8068’i, oturum kayıt sunucusuyla aynı Windows Active Directory etki alanında kimliği doğrulanmış bir kullanıcının NetworkService Hesabı erişimi elde etmesine olanak tanıyan bir ayrıcalık yükseltme güvenlik açığı olarak tanımladı. Citrix’e göre CVE-2024-8069, savunmasız sistemlerde yönetici düzeyinde hesap erişimine sahip saldırganlar için “sınırlı” bir RCE’dir. Şirket, “Bulut Yazılım Grubu, Citrix Session Recording’ten etkilenen müşterilerini, yükseltme programları izin verir vermez Citrix Session Recording’in ilgili güncellenmiş sürümlerini yüklemeye şiddetle teşvik ediyor” diye uyardı.
___________________________________
Yaklaşan ücretsiz kampanyayı kaçırmayın Karanlık Okuma Sanal Etkinliği“Düşmanınızı Tanıyın: Siber Suçluları ve Ulus-Devlet Tehdit Aktörlerini Anlamak”, 14 Kasım, saat 11:00 ET. MITRE ATT&CK’yi anlama, proaktif güvenliği bir silah olarak kullanma ve olaylara müdahalede ustalık sınıfına ilişkin oturumları kaçırmayın; ve Navy Credit Federal Union’dan Larry Larsen, eski Kaspersky Lab analisti Costin Raiu, Mandiant Intelligence’dan Ben Read, SANS’tan Rob Lee ve Omdia’dan Elvia Finalle gibi çok sayıda önemli konuşmacı. Şimdi kaydolun!
___________________________________
Buna rağmen Citrix, CVSS güvenlik açığı derecelendirme ölçeğinde her iki güvenlik açığına da yalnızca 10 üzerinden 5,1’lik orta şiddette puanlar verdi. WatchTowr’un itiraz ettiği bir görev bu.
watchTowr’un CEO’su Benjamin Harris, şirketin yararlanma kodunu işaret ederek, “Citrix, bu güvenlik açığının ciddiyetini orta öncelik olarak hafife alıyor” diyor ve gerçekten nokta tıklamayla tam devralma söz konusu olduğunda. Harris, Dark Reading’e iki güvenlik açığının birleşiminin “eski güzel, doğrulanmamış bir RCE’ye” olanak sağladığını söylüyor.
“Citrix’in Sanal Uygulamalar ve Masaüstü teklifi, aşağıdakileri hedefleyen amiral gemisi bir Citrix çözümüdür: [Fortune 500] kuruluşlar” diye belirtiyor. “Nispeten istikrarlı olduğu bilinen bir hata sınıfı olan seri durumdan çıkarma sorunuyla uğraştığımız için, [have] istismarımızın güvenilir bir şekilde çalışacağına dair yüksek derecede güven. Zorlayıcı bir yığın manipülasyonu ya da içeri sızan başka bir entropi yok.”
Birçok kuruluş kullanıyor Citrix’in Sanal Uygulamaları ve Masaüstü Kullanıcıların uygulamalarına ve masaüstü ortamlarına her yerden ve herhangi bir cihazı kullanarak erişmelerini sağlayan teknoloji. Kuruluşlara, tüm kullanıcı uygulamalarını tek bir konumdan merkezi olarak dağıtma, güncelleme ve güvenlik altına alma yolu sunarak bakımı daha verimli, tutarlı ve uygun maliyetli hale getirir. Citrix’in tanıttığı diğer bir fayda, uygulamaların ve verilerin bireysel uç nokta cihazları yerine merkezi sunucularda bulundurulması sayesinde artan güvenliktir. WatchTowr’un kusurları keşfettiği teknolojinin Oturum Kaydı özelliği, yöneticilerin anormal davranışları izlemesine ve gelecekteki denetim ve sorun giderme amacıyla kullanıcı etkinliğinin ayrıntılı bir kaydını tutmasına olanak tanır.
Son yıllarda daha fazla şirketin uzaktan ve hibrit çalışma modellerini benimsemesiyle bu tür teknolojilere olan talep arttı. Araştırma firması PiyasalarvePiyasalar Pazarın geçen yılki 1,5 milyar dolardan 2028’de 1,7 milyar dolara ulaşacağını tahmin ediyor. Daha geniş hizmet olarak masaüstü (DaaS) pazarının 2021’deki 4 milyar dolardan 2030’a kadar yaklaşık 19 milyar dolara ulaşması bekleniyor.
Bilinen Güvenli Olmayan Teknolojiye Bağımlılık
watchTowr’daki araştırmacılar, olası güvenlik sorunlarına karşı Citrix’in Sanal Uygulamalarını ve Masaüstü mimarisini incelerken güvenlik açıklarını keşfetti. Güvenlik sağlayıcısının incelemesi, Citrix uygulamasının kayıtlı kullanıcı oturumu dosyalarını almak ve bunları ayrı bir depolama yöneticisi bileşeninde depolamak için Microsoft’un Mesaj Kuyruklama (MSMQ) hizmetini kullandığını gösterdi. Ayrıca watchTowr, Citrix’in gerektiğinde depolama yöneticisi bileşenindeki verileri seri durumdan çıkarmak için BinaryFormatter adlı bir Microsoft teknolojisini kullandığını buldu. watchTowr, BinaryFormatter’ın, Microsoft’un artık düzeltilemeyen güvenlik zayıflıkları nedeniyle kuruluşlara mümkün olan en kısa sürede kullanmayı bırakmalarını önerdiği bir teknoloji olduğunu söyledi.
watchTowr’un keşfettiği güvenlik açıkları, Citrix’in Sanal Uygulamaları ve Masaüstü teknolojisinin oturum kayıt bileşenindeki İnternet’ten erişilebilen bir MSMQ örneğinin ve BinaryFormatter ile ilgili yanlış yapılandırılmış izinlerin bir kombinasyonunu içeriyordu. Harris, “Bu aslında BinaryFormatter’ın kendisindeki bir hata ya da MSMQ’daki bir hata değil; daha ziyade Citrix’in güvenlik sınırını korumak için güvenli olmadığı belgelenen BinaryFormatter’a güvenmesinin talihsiz sonucudur” diyor. “Bu, Citrix’in hangi serileştirme kütüphanesini kullanacağına karar verdiği tasarım aşamasında ortaya çıkan bir ‘hata’.”
Harris, watchTowr’un güvenlik açığını tek bir sorun olarak bildirdiğini, Citrix’in ise bunu iki ayrı sorun olarak ele aldığını söyledi.
Harris şöyle diyor: “Citrix’in güvenilmeyen verilerle BinaryFormatter kullanmasının fiili bir hata olduğu tartışılmaz olsa da, MSMQ kuyruğunu HTTP aracılığıyla açığa çıkarmanın gerçekten dikkatsiz bir hatadan kaynaklanan bir hata olup olmadığını belirlemek için yeterli bağlama sahip değiliz.” gözetim veya belirsiz bir iş gereksiniminin dikkatle hesaplanmış etkisi.”
Citrix’in teknolojileri bir Saldırganların sık hedefi Şirketin teknolojisinin kurumsal uygulamalara ve verilere sağladığı yüksek düzeyde erişim nedeniyle. Son zamanlarda bildirilen güvenlik kusurlarının çoğu şirketin NetScaler ADC ve NetScaler Ağ Geçidi uzaktan erişim platformları.