watchTowrによると、CitrixのSession Recording Managerに存在する新たなゼロデイ脆弱性が悪用されることで、Citrix Virtual Apps and Desktopsに対して未認証のリモートコード実行(RCE)を可能にするという。
攻撃対象領域管理(ASM)プロバイダーは、監査、異常行動の検知、問題のトラブルシューティングを支援するためにユーザー活動の記録を提供する機能であるCitrixのSession Recording Managerの背後にあるアーキテクチャを調査した。
CitrixのSession Recording Managerの仕組み
CitrixのSession Recording Managerはユーザーの活動を取得し、キーボードおよびマウス入力に加え、デスクトップの反応の映像ストリームを記録する。
この調査では、CitrixのSession Recording Storage Managerが、Session Recordingが有効化されたコンピューターからの記録済みセッションファイルを効率的に管理する方法が強調されている。これを実現するため、同マネージャーはMicrosoft Message Queuing(MSMQ)を介してメッセージバイトの形でセッション記録を受信し、個々のコンピューターから集中型ストレージへのシームレスなデータ転送を可能にしている。
このシステムは、安全性が求められ規制のある環境でユーザー活動を追跡するうえで不可欠であり、記録データがストレージ基盤へ円滑に流れることを保証する。
データの完全性を維持するため、Storage Managerは、Session Recordingエージェントが送信する速度に合わせて、受信メッセージを迅速に処理しなければならない。メッセージキューは異なるプロセス間、場合によっては別々のマシン間でデータ伝送を扱うため、システムはシリアライゼーションに依存する。このプロセスはデータを標準化された形式に変換し、受信側システムが各記録を正確に解釈して保存できるようにする。
公開されたMicrosoft Message Queuingインスタンスと安全でないBinaryFormatter
しかしwatchTowrのレポートは、BinaryFormatterを利用する不注意に公開されたMSMQサービスインスタンスの組み合わせにより、HTTP経由で任意のホストから到達でき、未認証のRCEを実行できることも示している。
BinaryFormatterはMicrosoftが作成した.NETクラスである。オブジェクトをバイナリ形式にシリアライズおよびデシリアライズするために使用され、複雑なオブジェクトを保存または送信できるバイトストリームに変換し、再構成することを可能にする。
しかしMicrosoftは2024年8月のブログ投稿で、BinaryFormatterはデシリアライゼーション脆弱性が十分に理解された脅威カテゴリとなる以前に実装されたと述べた。
「BinaryFormatterは安全ではなく、安全にすることはできません。アプリケーションは、処理しているデータが信頼できると考えている場合でも、できるだけ早く[それ]の使用をやめるべきです」とMicrosoftは付け加えた。
公開時点で、Citrixは上記の脆弱性に対するパッチのバージョン番号やCVE識別子を共有していなかった。
しかしwatchTowrの広報担当者はInfosecurityに対し、Citrixはこの脆弱性を認識していると語った。「彼らはこれが深刻であることに同意しています。おそらく割り当ては行われていると思われますが、まだwatchTowrには識別子を共有していません」と同担当者は付け加えた。
翻訳元: https://www.infosecurity-magazine.com/news/new-citrix-zeroday-vulnerability/
