Los investigadores de seguridad han descubierto una vulnerabilidad crítica en Citrix Virtual Apps and Desktops que podría permitir ataques de ejecución remota de código (RCE).
Ya se han observado intentos de explotación de prueba de concepto (PoC), lo que destaca la urgencia de que las organizaciones parcheen los sistemas afectados.
Las vulnerabilidades, rastreadas como CVE-2024-8068 y CVE-2024-8069, afectan el componente de grabación de sesiones de Citrix Virtual Apps and Desktops.
Esta característica permite a los administradores capturar la actividad del usuario, como la entrada del teclado y el contenido de la pantalla, con fines de auditoría y resolución de problemas.
Los investigadores de watchTowr descubrieron que una instancia de Microsoft Message Queuing (MSMQ) mal configurada combinada con el uso inseguro de BinaryFormatter de .NET para la deserialización crea una condición explotable.
Asista a un seminario web gratuito sobre cómo maximizar el ROI de su programa de ciberseguridad
Un atacante podría aprovechar estas fallas para realizar RCE no autorizado en un entorno de Citrix Virtual Apps and Desktops.
Las versiones afectadas son:
2407 Hotfix Citrix aplicaciones virtuales y escritorios virtuales antes del 24.5.200.8 1912 LTSR CU9 Hotfix Citrix Aplicaciones y escritorios virtuales antes del 19.12.9100.6 2203 LTSR CU5 Hotfix Citrix Virtual Apps and Desktops CU1 antes del 22.03.5100.11 Hotfix antes de 24.02.1200.16 2402020202020202020202020202.
Citrix lanzó un parche para abordar la vulnerabilidad e insta a los clientes a instalar la actualización lo antes posible. La empresa señala que para que el exploit tenga éxito, el atacante debe ser un usuario autenticado en el mismo dominio de Windows Active Directory que el servidor de grabación de sesiones.
Sin embargo, los expertos en seguridad advierten que no se debe descartar la posibilidad de RCE no autenticados. Sina Kheirkhah, el investigador que descubrió el defecto, dijo: “Esta combinación permite un RCE no certificado a la antigua usanza”.
Para aumentar la urgencia, Shadowserver está observando intentos de explotación activos y salvajes. “Comenzamos a ver intentos basados en PoC de Citrix Virtual Apps and Desktops CVE-2024-8068/CVE-2024-8069 hoy alrededor de las 16:00 UTC, poco después de la publicación”.
Citrix Virtual Apps and Desktops CVE-2024-8068/CVE-2024-8069 Los intentos basados en PoC comenzaron a observarse poco después de la publicación, aproximadamente a las 16:00 UTC de hoy.
Existe cierto debate sobre si estos pueden explotarse de forma remota sin autenticación, pero recomendamos actualizar su instalación ahora. pic.twitter.com/LdOEmfGXUX
– Fundación Shadow Server (@Shadowserver) 12 de noviembre de 2024
Esta vulnerabilidad se debe al uso de BinaryFormatter por parte de Citrix. BinaryFormatter es una clase .NET cuyo uso Microsoft advierte explícitamente debido a sus riesgos de seguridad inherentes. La documentación de Microsoft dice: “BinaryFormatter no es seguro y no se puede hacer que sea seguro. Las aplicaciones deben dejar de usar BinaryFormatter lo antes posible, incluso si creen que los datos que están procesando son confiables”.
Recomendamos que las organizaciones que utilizan Citrix Virtual Apps and Desktops, especialmente aquellas con la grabación de sesiones habilitada, den prioridad a parchear estas vulnerabilidades de inmediato.
Además de aplicar las revisiones proporcionadas, los equipos de seguridad deben revisar los registros en busca de signos de intentos de explotación y considerar implementar una segmentación de red adicional para limitar la exposición potencial.
A medida que la situación evoluciona, Citrix dice que está monitoreando activamente nueva información y proporcionará actualizaciones según sea necesario. Este incidente es un recordatorio de la importancia de la gestión ágil de parches y los continuos desafíos que plantean los componentes heredados del software empresarial.
Realice análisis privados de malware en tiempo real en máquinas virtuales Windows y Linux. ¡Obtén una prueba gratuita de 14 días en ANY.RUN!
