Privilegios de sistema con una sola solicitud: hackers comprometieron la seguridad de Citrix

Los especialistas de watchTowr publicaron una prueba de concepto (PoC) para explotar una vulnerabilidad de RCE en Citrix Virtual Apps and Desktops. El fallo permite obtener privilegios de sistema enviando un solo requerimiento HTTP, lo que abre el acceso a la infraestructura de escritorios virtuales (VDI) de Citrix.

Aunque Citrix ya ha lanzado parches e insta a los usuarios a instalarlos, la empresa insiste en que la vulnerabilidad detectada no es un "RCE sin autenticación". Los representantes de Citrix afirman que para explotarla se necesita ser un usuario autenticado con acceso en nombre de NetworkService.

No obstante, watchTowr no está de acuerdo con esta evaluación, argumentando que el problema es mucho más grave: la vulnerabilidad permite a un atacante obtener privilegios de sistema en el servidor que gestiona todas las aplicaciones y sesiones de los usuarios. Esto le permite suplantar a los usuarios, incluidos administradores, y monitorear sus acciones sin ser detectado.

La vulnerabilidad se encuentra en el módulo Session Recording Manager, que graba el flujo de video de las sesiones de usuario, así como registra pulsaciones de teclas y movimientos del ratón con fines de monitoreo y diagnóstico. Las sesiones se envían al servidor y se almacenan en una base de datos utilizando el servicio Microsoft Message Queuing (MSMQ).

Los investigadores descubrieron que el proceso de inicialización de colas en MSMQ tiene permisos excesivamente abiertos, lo que permite a cualquiera insertar mensajes. El problema más grave está relacionado con el uso de la clase obsoleta y no segura BinaryFormatter para la deserialización de datos. En la documentación de Microsoft se indica claramente que BinaryFormatter "es peligroso y no se recomienda su uso".

La explotación de la vulnerabilidad es posible mediante una simple solicitud HTTP, aunque el acceso a MSMQ generalmente se realiza a través del puerto TCP 1801. Los especialistas se sorprendieron de que Citrix habilitara el soporte de MSMQ por HTTP, aunque no es necesario para la funcionalidad del producto.

Tras la publicación del PoC, Citrix lanzó rápidamente recomendaciones y actualizaciones para solucionar la vulnerabilidad. Los parches abarcan las siguientes versiones:

• Citrix Virtual Apps and Desktops hasta la versión 2407: Hotfix 24.5.200.8
• Citrix Virtual Apps and Desktops 1912 LTSR hasta CU9: Hotfix 19.12.9100.6
• Citrix Virtual Apps and Desktops 2203 LTSR hasta CU5: Hotfix 22.03.5100.11
• Citrix Virtual Apps and Desktops 2402 LTSR hasta CU1: Hotfix 24.02.1200.16

La empresa asignó dos identificadores CVE a las vulnerabilidades:

• CVE-2024-8068 (puntuación CVSS: 5.1): vulnerabilidad de escalada de privilegios para acceder a la cuenta NetworkService. Se requiere autenticación en la misma red de dominio Active Directory que el servidor de grabación de sesiones.
• CVE-2024-8069 (puntuación CVSS: 5.1): vulnerabilidad RCE limitada, que requiere acceso a NetworkService y autenticación en la red interna de la víctima.

Citrix afirma que para explotar las vulnerabilidades se necesitan condiciones adicionales y autenticación, lo que reduce significativamente su peligrosidad. Sin embargo, watchTowr continúa insistiendo en que el PoC demuestra consecuencias mucho más serias.