Siber güvenlik araştırmacıları, Citrix Virtual Apps ve Desktop’ı etkileyen, kimlik doğrulamasız uzaktan kod yürütme (RCE) sağlamak için kullanılabilecek yeni güvenlik kusurlarını ortaya çıkardı
watchTowr’dan elde edilen bulgulara göre sorun, sistem yöneticilerinin denetim, uyumluluk ve sorun giderme amacıyla kullanıcı etkinliğini yakalamasına ve klavye ve fare girişinin yanı sıra masaüstünün video akışını kaydetmesine olanak tanıyan Oturum Kaydı bileşeninden kaynaklanıyor.
Güvenlik araştırmacısı Sina Kheirkhah, güvenlik açığının özellikle “kimliği doğrulanmamış RCE gerçekleştirmek için HTTP aracılığıyla herhangi bir ana bilgisayardan erişilebilen BinaryFormatter’dan yararlanan, dikkatsizce açığa çıkan bir MSMQ örneğinin yanlış yapılandırılmış izinlerle birleşiminden” yararlandığını söyledi.
Güvenlik açığı ayrıntıları aşağıda listelenmiştir:
- CVE-2024-8068 (CVSS puanı: 5,1) – NetworkService Hesabı erişimine ayrıcalık yükseltme
- CVE-2024-8069 (CVSS puanı: 5.1) – NetworkService Hesabı erişimi ayrıcalığıyla sınırlı uzaktan kod yürütme
Ancak Citrix, başarılı bir şekilde yararlanmanın, saldırganın oturum kayıt sunucusu etki alanıyla aynı Windows Active Directory etki alanında ve oturum kayıt sunucusuyla aynı intranet üzerinde kimliği doğrulanmış bir kullanıcı olmasını gerektirdiğini belirtti. Kusurlar aşağıdaki sürümlerde giderilmiştir –
- 2407 düzeltmesi 24.5.200.8’den önceki Citrix Virtual Apps and Desktops
- Citrix Virtual Apps and Desktops 1912 LTSR, CU9 düzeltmesi 19.12.9100.6’dan önce
- Citrix Virtual Apps and Desktops 2203 LTSR, CU5 düzeltmesi 22.03.5100.11’den önce
- Citrix Virtual Apps and Desktops 2402 LTSR, CU1 düzeltmesi 24.02.1200.16’dan önce
Yöntemin güvenilmeyen girişle kullanıldığında güvenli olmaması nedeniyle Microsoft’un geliştiricilere seri durumdan çıkarma için BinaryFormatter’ı kullanmayı bırakmalarını istediğini belirtmekte fayda var. BinaryFormatter’ın bir uygulaması Ağustos 2024 itibarıyla .NET 9’dan kaldırıldı.
Teknoloji devi, belgelerinde “BinaryFormatter seri durumdan çıkarma güvenlik açıklarının iyi anlaşılmış bir tehdit kategorisi olmasından önce uygulandı” diyor. “Sonuç olarak kod, modern en iyi uygulamaları takip etmiyor. BinaryFormatter.Deserialize, bilginin ifşa edilmesi veya uzaktan kod yürütülmesi gibi diğer saldırı kategorilerine karşı savunmasız olabilir.”
Sorunun merkezinde, özelliğin etkinleştirildiği her bilgisayardan alınan kayıtlı oturum dosyalarını yöneten bir Windows hizmeti olan Oturum Kaydı Depolama Yöneticisi bulunmaktadır.
Depolama Yöneticisi, oturum kayıtlarını Microsoft Messenger Queuing (MSMQ) hizmeti aracılığıyla mesaj baytları olarak alırken, analiz, verileri aktarmak için bir serileştirme işleminin kullanıldığını ve kuyruk örneğinin aşırı ayrıcalıklara sahip olduğunu buldu.
Daha da kötüsü, kuyruktan alınan veriler BinaryFormatter kullanılarak seri durumdan çıkarılır, böylece bir saldırganın HTTP yoluyla gönderilen özel hazırlanmış MSMQ mesajlarını internet üzerinden iletmek için başlatma işlemi sırasında ayarlanan güvenli olmayan izinleri kötüye kullanmasına izin verilir.
Kheirkhah, bir istismar oluşturma adımlarını ayrıntılarıyla anlatarak, “İzinleri yanlış yapılandırılmış bir MSMQ örneğinin olduğunu biliyoruz ve seri durumdan çıkarma işlemini gerçekleştirmek için kötü şöhretli BinaryFormatter sınıfını kullandığını biliyoruz.” dedi. “‘En önemli özelliği’, yalnızca MSMQ TCP bağlantı noktası aracılığıyla yerel olarak değil, aynı zamanda HTTP aracılığıyla başka herhangi bir ana bilgisayardan da erişilebilmesidir.”
Araştırmacı, “Bu kombinasyon, kimliği doğrulanmamış eski güzel bir RCE’ye izin veriyor” diye ekledi.