Les RSSI disposant du service de virtualisation du poste de travail de Citrix dans leur environnement sont invités à corriger deux failles qu’un pirate authentifié pourrait exploiter pour élever ses privilèges et exécuter du code à distance. Les chercheurs de watchTowr, à l’origine de la découverte, mettent en garde contre l’exploitation possible d’une « instance MSMQ (Microsoft Message Queuing) exposée sans précaution » via http, pouvant déboucher sur l'exécution de code à distance non authentifié contre l'application. « Il semble y avoir un désaccord entre Citrix et watchTowr sur la gravité de la vulnérabilité », a commenté Michelle Abraham, directrice de recherche au sein du groupe de sécurité et de confiance d'IDC. « Mais l'exécution de code à distance est à prendre au sérieux. »

Correctifs disponibles

Dans un bulletin de sécurité publié mardi, Citrix « recommande vivement aux clients concernés de Citrix Session Recording d'installer les mises à jour correspondantes dès que le permet leur calendrier de mise à niveau. » Deux failles sont concernées : la première, référencée CVE-2024-8068, dont le score CVSS est de 5.1, peut entrainer une escalade de privilèges vers l'accès au compte NetworkService ; la seconde, référencée CVE-2024-8069, avec le même score CVSS de 5.1, peut déboucher sur une exécution de code à distance limitée avec privilège d'accès au compte NetworkService. Des correctifs sont disponibles pour la version actuelle et les versions LTS. « Les RSSI devraient vérifier s'ils utilisent cette application dans leurs environnements IT et déterminer si la faille présente un risque », a conseillé Mme Abraham, en particulier si elle est utilisée sur des actifs critiques pour l'entreprise.

La criticité doit être prise en compte dans la priorisation de la remédiation. « Chaque environnement IT étant différent, les risques et les priorités sont aussi différents. Il est nécessaire de disposer d'une solution de gestion des vulnérabilités capable d'établir des priorités et de suivre le processus de remédiation pour gérer les CVE susceptibles d'être présentes dans l'environnement IT de l’entreprise, » a-t-elle ajouté. « 29 004 enregistrements de CVE ont été publiés au cours des trois premiers trimestres de l'année 2024, soit plus que pour l'ensemble de l’année 2023. » Les vulnérabilités se situent dans la fonction d'enregistrement de session Session Recording de Citrix Virtual Apps and Desktops, qui propose aux services IT de fournir un bureau de travail sécurisé sur n'importe quel terminal utilisé par un employé ou un partenaire approuvé. L'enregistrement de session crée une vidéo des mouvements du clavier et de la souris que les administrateurs ou l'assistance IT peuvent utiliser à des fins de surveillance, de conformité et de dépannage. Les vidéos sont stockées dans un dossier de la base de données du serveur Citrix. L'application comprend le gestionnaire de stockage de l'enregistrement de session Session Recording Storage Manager, qui est un service Windows.

Une autre faille découverte

Mais ce n’est pas tout : les chercheurs de watchTowr ont aussi découvert une faille, décrite dans un blog. Le gestionnaire de stockage Session Recording Storage Manager reçoit des fichiers via Microsoft Message Queuing (MSMQ) et utilise un processus de sérialisation pour convertir les messages de données d'enregistrement de session en une forme qui peut être interprétée par les processus Windows. L'API de sérialisation autorise plusieurs permissions « critiques », a commenté watchTowr, y compris l'accès au contrôle total à presque tous les utilisateurs authentifiés. De plus, selon les chercheurs, Citrix utilise le BinaryFormatter de .NET pour la désérialisation. « Nous savons depuis longtemps que l'utilisation d'un BinaryFormatter pour la désérialisation est presque toujours dangereuse », indique le rapport. « Il expose de nombreuses fonctionnalités à quiconque peut lui fournir des messages et, même s’il peut être utilisé en toute sécurité, son usage est tellement pénalisant que Microsoft elle-même dit qu'il ne devrait pas être utilisé. » Le rapport cite un document de Microsoft publié en juillet détaillant les risques liés à l'utilisation de BinaryFormatter, dans lequel il est écrit qu'il n'est pas recommandé pour le traitement des données.

Alors que MSMQ est généralement accessible via le port TCP 1801, qui n'est pas ouvert par défaut dans un environnement Citrix, un bogue dans MSMQ, référencé CVE-2024-21554, permet d'accéder à MSMQ via HTTP. Malheureusement, pour une raison quelconque, le support HTTP est activé lorsque Virtual Apps and Desktop est installé. Les administrateurs qui savent résoudre ce problème peuvent décocher cette option dans la liste du menu Message Queuing de l'application. Sur la base de toutes ces données, les chercheurs de watchTowr ont construit une preuve de concept d'exploit qui, selon eux, pourrait être utilisée par un acteur de la menace. « Il ne s'agit pas vraiment d'un bogue dans le BinaryFormatter lui-même, ni d'un bogue dans MSMQ », a fait savoir watchTowr « mais plutôt d’une conséquence malheureuse liée au fait que Citrix s'est appuyé sur le BinaryFormatter documenté comme étant non sécurisé pour maintenir une frontière de sécurité. Ce bogue s'est manifesté pendant la phase de conception, quand Citrix a choisi la bibliothèque de sérialisation à utiliser. »