Citrix Virtual Apps and Desktops’ta yakın zamanda keşfedilen bir güvenlik açığı, vahşi ortamda aktif olarak kullanılıyor. Kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine (RCE) izin veren kusur, popüler uzaktan erişim çözümünü kullanan kuruluşlar için önemli bir tehdit oluşturuyor.
Geçen hafta Watchtowr Labs, Citrix’in Oturum Kayıt Yöneticisi bileşenini etkileyen güvenlik açığının ayrıntılarını açıkladı. Denetim ve sorun giderme amacıyla kullanıcı etkinliğini yakalamak için tasarlanan bu özellik, uygulanmasında kritik bir kusur içeriyor.
Güvenlik açığı, yanlış yapılandırılmış bir Microsoft Messenger Queuing (MSMQ) hizmet örneğinin .NET’teki güvenli olmayan BinaryFormatter sınıfıyla birleşiminden kaynaklanıyor. Bu kombinasyon, saldırganların güvenlik açığı bulunan bileşene HTTP yoluyla erişmesine ve potansiyel olarak kimlik doğrulaması olmadan rastgele kod çalıştırmasına olanak tanır.
Watchtowr araştırmacıları sorunun ciddiyetini vurgulayarak şunları ifade etti: “Bu, herhangi bir VDI kullanıcısı için SYSTEM ayrıcalıkları sağlayan bir privesc hatasıdır ve aslında bu, tüm uygulamaları ve erişimi barındıran sunucudaki SYSTEM ayrıcalıkları olduğundan başlangıçta sanıldığından çok daha kötüdür. ‘tasarım gereği’dir”.
Maximizing Cybersecurity ROI: Expert Tips for SME & MSP Leaders - Attend Free Webinar
Güvenlik açığı özellikle endişe verici çünkü Citrix Virtual Apps and Desktops uzaktan çalışma için ve çağrı merkezi ortamlarında bireysel iş istasyonlarını izole etmek için yaygın olarak kullanılıyor. Başarılı bir istismar, yalnızca tek bir masaüstünü değil, tüm sunucuyu ve tüm bağlı oturumları tehlikeye atabilir.
Güvenlik Açığı’nın Aktif İstismarı
SANS’tan Johannes Ullrich, vahşi doğada aktif sömürü girişimlerini gözlemledi. Honeypot’lardan biri, savunmasız MSMQ uç noktasını hedef alan kötü amaçlı bir POST isteği algıladı. Bu istismar girişimi, harici bir sunucudan bir komut dosyasını indirip çalıştırmaya yönelik bir komut içeriyordu.
Shadowserver daha önce aktif vahşi istismar girişimlerini gözlemlemişti. “Citrix Virtual Apps and Desktops CVE-2024-8068/CVE-2024-8069 PoC tabanlı girişimleri bugün saat 16:00 UTC civarında, yayınlandıktan kısa bir süre sonra görmeye başladık.”
Citrix güvenlik açığını kabul etse de şu anda mevcut bir yama yok. Şirket, etkilenen sürümler için düzeltmeler yayınladı ve müşterilerini bunları hemen yüklemeye çağırdı.
Citrix Virtual Apps and Desktops kullanan kuruluşların, riski azaltmak için derhal harekete geçmeleri önemle tavsiye edilir:
- Citrix tarafından sağlanan en son düzeltmeleri uygulayın.
- Olağandışı etkinliklere veya yetkisiz erişim girişimlerine karşı sistemleri izleyin.
- Uzlaşma durumunda potansiyel yanal hareketi sınırlamak için ağ bölümlendirmesini uygulayın.
- MSMQ yapılandırmalarını ve izinlerini gözden geçirin ve güvenliğini sağlayın.
Simplify and speed up Threat Analysis Workflow by Auto-detonating Cyber Attacks in a Malware sandbox