Citrix Session Recording Manager の RCE 脆弱性 CVE-2024-8068／8069 が FIX：PoC も公開

CVE-2024-8068 & CVE-2024-8069: Citrix Session Recording Manager Unauthenticated RCE Exploits Publicly Available

2024/11/12 SecurityOnline — Citrix Session Recording Manager に存在する２つの深刻な脆弱性 CVE-2024-8068／CVE-2024-8069 を、セキュリティ研究機関の watchTowr が発見した。これらの脆弱性を連鎖させることで、Citrix Virtual Apps／Desktops 上における、認証を必要としないリモート・コード実行 (RCE) が可能になるという。したがって、２つの脆弱性の悪用に成功した攻撃者は、脆弱なシステムを完全に制御できる可能性を得るため、これらの Citrix プラットフォームに依存する組織に深刻なリスクが生じる。

新たに発見された脆弱性 CVE-2024-8068／CVE-2024-8069 は、公開された Microsoft Message Queuing (MSMQ) インスタンスおよびミスコンフィグされた権限と、安全が確保されない BinaryFormatter クラス使用の組み合わせに起因する。この欠陥を突く攻撃者は、任意のホストから HTTP 経由で脆弱な MSMQ サービスへのアクセスを達成し、 NetworkService アカウント権限での任意のコード実行を可能にする。

watchTowr のセキュリティ研究者である Sina Kheirkhah は、「不注意に公開された MSMQ インスタンスが HTTP 経由で悪用されると、Citrix Virtual Apps and Desktops における認証を必要としないリモート・コード実行の可能性が生じる」と述べている。

その一方で Citrix が主張するのは、これらの脆弱性を悪用する攻撃者は、その前提として、Windows Active Directory ドメインへの認証済みアクセス権限を持ち、標的となる Session Recording Server と同じイントラネット上に、接続する必要があるという点だ。

Kheirkhah は自身のブログで、この脆弱性に関する詳細な技術的分析を公開し、GitHub で PoC エクスプロイト・コードも公開している。それにより、これらの欠陥に対処する必要性がさらに高まっている。

Citrix はユーザーに対して、この調査結果に関するセキュリティ通知を公開し、Session Recording Manager のパッチ適用済みバージョンへの更新を促している。

影響を受けるバージョンは以下の通りである：

Citrix Virtual Apps and Desktops 2407 hotfix 24.5.200.8 未満
Citrix Virtual Apps and Desktops 1912 LTSR CU9 hotfix 19.12.9100.6 未満
Citrix Virtual Apps and Desktops 2203 LTSR CU5 hotfix 22.03.5100.11 未満
Citrix Virtual Apps and Desktops 2402 LTSR CU1 hotfix 24.02.1200.16 未満

前述の BinaryFormatter の脆弱性に関しては、Microsoft も以前から問題を認めており、より安全な代替手段を推奨している。

Citrix Session Recording Manager は、キーボード／マウスの入力および、デスクトップ・セッションのビデオといった、ユーザー操作を記録するツールであり、Citrix Virtual Apps and Desktops 内の監査／コンプライアンス／トラブル・シューティングのために使用されるものだ。この脆弱性の悪用に成功した攻撃者は、機密性の高いユーザー・データへの不正アクセスを達成し、セッション録画の操作も可能にするため、深刻なプライバシー／コンプライアンス上の懸念が、ユーザーに組織に生じる可能性がある。

Citrix Virtual Apps and Desktops を使用している企業に対して強く推奨されるのは、最優先でシステムへのパッチを適用し、攻撃のリスクを軽減することだ。これらの更新プログラムの適用が遅滞すると、深刻なセキュリティ侵害や業務中断のリスクにさらされる可能性がある。

Citrix Session Recording Manager に存在する２つの深刻な脆弱性 CVE-2024-8068／CVE-2024-8069 を、セキュリティ研究機関の watchTowr が発見した。これらの脆弱性を連鎖させることで、

Citrix Virtual Apps／Desktops に影響を及ぼす、Session Recording Manager の２つの深刻な脆弱性 CVE-2024-8068／CVE-2024-8069 が FIX しました。この問題は、Microsoft Message Queuing (MSMQ) のミスコンフィグされた権限と、安全が確保されない BinaryFormatter クラス使用の組み合わせに起因するという、依存関係を持つようです。ご利用のチームは、ご注意ください。Citrix で検索も、ご参照ください。

M	T	W	T	F	S	S
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30

Share this: