Una vulnerabilidad descubierta recientemente en Citrix Virtual Apps and Desktops está siendo explotada en estado salvaje. Esta vulnerabilidad permite la ejecución remota de código (RCE) no autenticado y representa una amenaza importante para las organizaciones que utilizan soluciones populares de acceso remoto.
La semana pasada, Watchtowr Labs reveló detalles de una vulnerabilidad que afecta al componente Session Recording Manager de Citrix. Aunque esta función está diseñada para capturar la actividad del usuario con fines de auditoría y resolución de problemas, su implementación contiene fallas importantes.
La vulnerabilidad se debe a una instancia del servicio Microsoft Message Queuing (MSMQ) mal configurada combinada con una clase .NET BinaryFormatter insegura. Esta combinación podría permitir a un atacante acceder al componente vulnerable a través de HTTP y potencialmente ejecutar código arbitrario sin autenticación.
Los investigadores de la Watchtow enfatizan la gravedad del problema y dicen: “Este es un error en privesc que otorga privilegios de SISTEMA a todos los usuarios de VDI. En realidad, esto es mucho peor de lo que parece, ya que es el privilegio de SISTEMA en el servidor que aloja todas las aplicaciones y accesos. Es una “especificación”.
Maximizar el retorno de la inversión en ciberseguridad: consejos de expertos para líderes de PYME y MSP: asista al seminario web gratuito
Esta vulnerabilidad es motivo de especial preocupación porque Citrix Virtual Apps and Desktops se utiliza ampliamente para aislar estaciones de trabajo individuales en entornos de trabajo remoto y centros de llamadas. Un exploit exitoso podría comprometer no solo un escritorio, sino todo el servidor y todas las sesiones conectadas.
Explotación activa de vulnerabilidades.
Johannes Ullrich, de SANS, observó intentos activos de explotación en la naturaleza. Un honeypot detectó una solicitud POST maliciosa dirigida a un punto final MSMQ vulnerable. Este intento de explotación incluía un comando para descargar y ejecutar un script desde un servidor externo.
Shadowserver había observado previamente intentos activos de explotación salvaje. “Comenzamos a ver intentos basados en PoC de Citrix Virtual Apps and Desktops CVE-2024-8068/CVE-2024-8069 hoy alrededor de las 16:00 UTC, poco después de la publicación”.
Citrix Virtual Apps and Desktops CVE-2024-8068/CVE-2024-8069 Los intentos basados en PoC comenzaron a observarse poco después de la publicación, aproximadamente a las 16:00 UTC de hoy.
Existe cierto debate sobre si estos pueden explotarse de forma remota sin autenticación, pero recomendamos actualizar su instalación ahora. pic.twitter.com/LdOEmfGXUX
– Fundación Shadow Server (@Shadowserver) 12 de noviembre de 2024
Citrix ha reconocido esta vulnerabilidad, pero actualmente no hay ningún parche disponible. La compañía ha publicado una revisión para las versiones afectadas e insta a los clientes a instalarla de inmediato.
Recomendamos encarecidamente que las organizaciones que utilizan Citrix Virtual Apps and Desktops tomen medidas inmediatas para reducir el riesgo.
Aplique las últimas revisiones proporcionadas por Citrix. Supervise sus sistemas en busca de actividad inusual o intentos de acceso no autorizados. Implementar segmentación de la red para limitar el posible movimiento lateral en caso de una infracción. Revise y asegure la configuración y los permisos de MSMQ.
Simplifique y acelere los flujos de trabajo de análisis de amenazas detonando automáticamente los ciberataques en un entorno limitado de malware.
