Peneliti keamanan siber telah mengungkapkan kelemahan keamanan baru yang berdampak pada Citrix Virtual Apps dan Desktop yang dapat dieksploitasi untuk mencapai eksekusi kode jarak jauh (RCE) yang tidak diautentikasi.
Masalahnya, berdasarkan temuan dari watchTowr, berakar pada komponen Perekaman Sesi yang memungkinkan administrator sistem menangkap aktivitas pengguna, dan merekam input keyboard dan mouse, bersama dengan aliran video desktop untuk tujuan audit, kepatuhan, dan pemecahan masalah.
Khususnya, kerentanan ini mengeksploitasi “kombinasi contoh MSMQ yang terekspos secara sembarangan dengan izin yang salah dikonfigurasi sehingga memanfaatkan BinaryFormatter yang dapat dijangkau dari host mana pun melalui HTTP untuk melakukan RCE yang tidak diautentikasi,” kata peneliti keamanan Sina Kheirkhah.
Detail kerentanan tercantum di bawah ini –
- CVE-2024-8068 (Skor CVSS: 5.1) – Peningkatan hak istimewa ke akses Akun NetworkService
- CVE-2024-8069 (Skor CVSS: 5.1) – Eksekusi kode jarak jauh terbatas dengan hak istimewa akses Akun NetworkService
Namun, Citrix mencatat bahwa eksploitasi yang berhasil mengharuskan penyerang menjadi pengguna yang diautentikasi di domain Windows Active Directory yang sama dengan domain server perekaman sesi dan di intranet yang sama dengan server perekaman sesi. Cacat telah diatasi dalam versi berikut –
- Aplikasi dan Desktop Virtual Citrix sebelum perbaikan terbaru 2407 24.5.200.8
- Aplikasi dan Desktop Virtual Citrix 1912 LTSR sebelum perbaikan terbaru CU9 19.12.9100.6
- Aplikasi dan Desktop Virtual Citrix 2203 LTSR sebelum perbaikan terbaru CU5 22.03.5100.11
- Aplikasi dan Desktop Virtual Citrix 2402 LTSR sebelum perbaikan terbaru CU1 24.02.1200.16
Perlu dicatat bahwa Microsoft telah mendesak pengembang untuk berhenti menggunakan BinaryFormatter untuk deserialisasi, karena fakta bahwa metode ini tidak aman bila digunakan dengan masukan yang tidak tepercaya. Implementasi BinaryFormatter telah dihapus dari .NET 9 mulai Agustus 2024.
“BinaryFormatter diterapkan sebelum kerentanan deserialisasi menjadi kategori ancaman yang dipahami dengan baik,” kata raksasa teknologi itu dalam dokumentasinya. “Akibatnya, kode tersebut tidak mengikuti praktik terbaik modern. BinaryFormatter.Deserialize mungkin rentan terhadap kategori serangan lain, seperti pengungkapan informasi atau eksekusi kode jarak jauh.”
Inti masalahnya adalah Session Recording Storage Manager, layanan Windows yang mengelola file rekaman sesi yang diterima dari setiap komputer yang mengaktifkan fitur tersebut.
Sementara Manajer Penyimpanan menerima rekaman sesi sebagai byte pesan melalui layanan Microsoft Message Queuing (MSMQ), analisis menemukan bahwa proses serialisasi digunakan untuk mentransfer data dan bahwa instance antrian memiliki hak istimewa yang berlebihan.
Lebih buruk lagi, data yang diterima dari antrean dideserialisasi menggunakan BinaryFormatter, sehingga memungkinkan penyerang menyalahgunakan izin tidak aman yang ditetapkan selama proses inisialisasi untuk meneruskan pesan MSMQ yang dibuat khusus yang dikirim melalui HTTP melalui internet.
“Kami mengetahui ada instance MSMQ dengan izin yang salah dikonfigurasi, dan kami mengetahui bahwa instance tersebut menggunakan kelas BinaryFormatter yang terkenal untuk melakukan deserialisasi,” kata Kheirkhah, merinci langkah-langkah untuk membuat eksploitasi. “Yang menarik adalah bahwa hal ini dapat dicapai tidak hanya secara lokal, melalui port MSMQ TCP, tetapi juga dari host lain, melalui HTTP.”
“Kombinasi ini memungkinkan RCE lama yang tidak diautentikasi,” tambah peneliti.