Güvenlik araştırmacıları, Citrix Virtual Apps and Desktops’ta uzaktan kod yürütme (RCE) saldırılarına izin verebilecek kritik güvenlik açıklarını ortaya çıkardı.
Kavram kanıtını (PoC) kullanma girişimleri halihazırda yaygın olarak gözlemleniyor ve bu da kuruluşların etkilenen sistemlere yama yapmasının aciliyetini vurguluyor.
CVE-2024-8068 ve CVE-2024-8069 olarak takip edilen güvenlik açıkları, Citrix Virtual Apps and Desktops’ın Oturum Kaydı bileşenini etkiler.
Bu özellik, yöneticilerin, denetim ve sorun giderme amacıyla klavye girişi ve ekran içeriği de dahil olmak üzere kullanıcı etkinliğini yakalamasına olanak tanır.
WatchTowr’dan araştırmacılar, yanlış yapılandırılmış bir Microsoft Mesaj Queuing (MSMQ) örneğinin, seri durumdan çıkarma için .NET’in BinaryFormatter’ının güvenli olmayan kullanımıyla birleştiğinde, istismar edilebilir bir durum oluşturduğunu keşfetti.
Attend a Free Webinar on How to Maximize Cybersecurity Program ROI
Bir saldırgan, Citrix Virtual Apps and Desktops ortamlarında kimliği doğrulanmamış RCE elde etmek için bu kusurlardan yararlanabilir.
Etkilenen sürümler şunları içerir:
- 2407 düzeltmesi 24.5.200.8’den önceki Citrix Virtual Apps and Desktops
- Citrix Virtual Apps and Desktops 1912 LTSR, CU9 düzeltmesi 19.12.9100.6’dan önce
- Citrix Virtual Apps and Desktops 2203 LTSR, CU5 düzeltmesi 22.03.5100.11’den önce
- Citrix Virtual Apps and Desktops 2402 LTSR, CU1 düzeltmesi 24.02.1200.16’dan önce
Citrix, güvenlik açıklarını gidermek için yamalar yayınladı ve müşterilerin güncellemeleri mümkün olan en kısa sürede yüklemelerini şiddetle tavsiye ediyor. Şirket, saldırının başarıyla gerçekleştirilebilmesi için saldırganın, oturum kayıt sunucusuyla aynı Windows Active Directory etki alanında kimliği doğrulanmış bir kullanıcı olmasını gerektirdiğini belirtiyor.
Ancak güvenlik uzmanları, kimliği doğrulanmamış RCE potansiyelinin göz ardı edilmemesi gerektiği konusunda uyarıyor. Kusurları keşfeden araştırmacı Sina Kheirkhah şunları söyledi: “Bu kombinasyon, kimliği doğrulanmamış eski güzel bir RCE’ye izin veriyor.”
Aciliyeti daha da artıran Shadowserver, aktif vahşi istismar girişimlerini gözlemledi. “Citrix Virtual Apps and Desktops CVE-2024-8068/CVE-2024-8069 PoC tabanlı girişimleri bugün saat 16:00 UTC civarında, yayınlandıktan kısa bir süre sonra görmeye başladık.”
Güvenlik açıkları, Citrix’in, Microsoft’un doğal güvenlik riskleri nedeniyle kullanılmasına karşı açıkça uyardığı bir .NET sınıfı olan BinaryFormatter’ı kullanmasından kaynaklanmaktadır. Microsoft’un belgelerinde şunlar belirtiliyor: “BinaryFormatter güvenli değildir ve güvenli hale getirilemez. Uygulamalar, işledikleri verilerin güvenilir olduğuna inansalar bile BinaryFormatter’ı kullanmayı mümkün olan en kısa sürede bırakmalılar.”
Citrix Virtual Apps and Desktops kullanan kuruluşların, özellikle de Oturum Kaydının etkin olduğu kuruluşların, bu güvenlik açıklarının derhal kapatılmasına öncelik vermeleri önerilir.
Sağlanan düzeltmelerin uygulanmasına ek olarak, güvenlik ekipleri günlükleri herhangi bir suiistimal girişimi belirtisi açısından incelemeli ve potansiyel maruziyeti sınırlamak için ek ağ bölümlendirmesi uygulamayı düşünmelidir.
Durum geliştikçe Citrix, yeni bilgileri aktif olarak izlediklerini ve gerektiğinde güncelleme sağlayacaklarını belirtti. Bu olay, hızlı yama yönetiminin kritik önemini ve kurumsal yazılımlardaki eski bileşenlerin neden olduğu devam eden zorlukları hatırlatıyor.
Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!