Vulnerabilità in Citrix Virtual Apps e Desktops

Vulnerabilità in Citrix Virtual App e Desktop

Exploit di RCE tramite Session Recording Manager

Le vulnerabilità nei sistemi di virtualizzazione sono sempre una preoccupazione per gli amministratori IT e gli utenti. Recentemente, è stata rivelata una vulnerabilità critica nel software Citrix Virtual Apps e Desktops, che consente agli attaccanti di eseguire codice remoto non autenticato (RCE) utilizzando l’exploit del Session Recording Manager. In questo articolo, esploreremo la vulnerabilità, le cause, e forniremo consigli su come proteggersi da essa.

La Vulnerabilità

La vulnerabilità è stata scoperta da watchTowr e riguarda il Session Recording Manager, un componente del software Citrix Virtual Apps e Desktops che registra le sessioni degli utenti, inclusi i tasti premuti e i movimenti del mouse, insieme alla video-streaming della desktop[1][2][5]. Questo componente è essenziale per le attività di audit, la detezione del comportamento anomalo e il troubleshooting.

Come Funziona il Session Recording Manager

Il Session Recording Manager cattura l’attività degli utenti, registrando la tastiera e il mouse, insieme al video-streaming della desktop. Queste registrazioni vengono inviate al Session Recording Storage Manager, che le gestisce tramite il servizio Microsoft Message Queuing (MSMQ). Il MSMQ trasferisce i dati in forma di byte messaggi, che vengono poi deserializzati utilizzando la classe BinaryFormatter[1][2][5].

La Vulnerabilità e l’Exploit

La vulnerabilità deriva dalla combinazione di un’istanza MSMQ esposta e mal configurata, che utilizza la classe BinaryFormatter per la deserializzazione. Questo permette agli attaccanti di eseguire codice remoto non autenticato (RCE) inviando messaggi MSMQ specializzati via HTTP[1][2][5]. Sina Kheirkhah, ricercatore di watchTowr, ha spiegato che l’exploit può essere eseguito utilizzando un semplice richiesta HTTP, nonostante il MSMQ sia raggiungibile solo via TCP port 1801.

Cause della Vulnerabilità

La causa principale della vulnerabilità sembra essere una configurazione errata dell’istanza MSMQ. Kheirkhah ha ipotizzato che potrebbe essere stato un bug di sviluppo, dove un sviluppatore ha abilitato l’MSMQ via HTTP senza necessità, e poi dimenticato di disabilitarlo[1][2]. Questo comportamento è considerato inutile e potenzialmente pericoloso, poiché l’MSMQ è tipicamente disabilitato per impostazione predefinita.

Rischi e Impatto

La vulnerabilità rappresenta un rischio significativo per le organizzazioni che utilizzano Citrix Virtual Apps e Desktops. Un attaccante potrebbe ottenere privilegi di sistema sul server che ospita tutte le applicazioni, permettendogli di impersonare qualsiasi utente, incluso gli amministratori, e monitorare il loro comportamento e la loro connettività[1][2][3]. Questo potrebbe portare a una completa perdita di controllo sulla infrastruttura virtuale.

Consigli per la Protezione

Per proteggersi da questa vulnerabilità, è essenziale seguire questi consigli:

  1. Aggiornamenti e Patch

    • Assicurarsi di installare le patch e gli hotfix pubblicati da Citrix per le versioni affette. Le patch disponibili includono:
    • Citrix Virtual Apps and Desktops prima di 2407: Hotfix 24.5.200.8
    • Citrix Virtual Apps and Desktops 1912 LTSR prima di CU9: Hotfix 19.12.9100.6
    • Citrix Virtual Apps and Desktops 2203 LTSR prima di CU5: Hotfix 22.03.5100.11
    • Citrix Virtual Apps and Desktops 2402 LTSR prima di CU1: Hotfix 24.02.1200.16[1][2][5].

  2. Configurazione dell’MSMQ

    • Verificare la configurazione dell’MSMQ per assicurarsi che sia disabilitato via HTTP. Se necessario, disabilitare l’accesso via HTTP per l’MSMQ.

  3. Utilizzo di Alternative

  • Considerare l’utilizzo di alternative più sicure per la gestione delle sessioni, come ad esempio utilizzare strumenti di registrazione delle sessioni che non dipendono dall’MSMQ.

  1. Monitoraggio e Sicurezza

    • Implementare un monitoraggio attivo per rilevare eventuali attività anomale e migliorare la sicurezza generale dell’infrastruttura virtuale.

  2. Formazione e Consapevolezza

    • Assicurarsi che gli utenti e gli amministratori siano consapevoli dei rischi associati a questa vulnerabilità e siano formati su come riconoscere e rispondere a eventuali attacchi.

La vulnerabilità nel Session Recording Manager di Citrix Virtual Apps e Desktops rappresenta un pericolo significativo per le organizzazioni che utilizzano questo software. È essenziale prendere immediatamente misure per proteggersi da questa vulnerabilità, installando le patch disponibili e verificando la configurazione dell’MSMQ. Inoltre, è importante implementare strategie di sicurezza più robuste e monitorare costantemente l’infrastruttura virtuale per rilevare eventuali attività anomale.

Fonte: https://gbhackers.com/citrix-virtual-apps-desktops-vulnerability

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto