Aviso sobre amenazas de ciberseguridad:

19 de noviembre de 2024

NUEVAS Vulnerabilidades críticas presentes en Citrix

Se descubrieron nuevas vulnerabilidades críticas en Citrix Virtual Apps and Desktops, identificadas como CVE-2024-8068 y CVE-2024-8069, así como nuevos fallos relacionados con la configuración incorrecta de MSMQ (Microsoft Message Queuing). Estas vulnerabilidades permiten a los atacantes ejecutar código remoto (RCE) sin autenticación en sistemas vulnerables.

¿Cuál es la amenaza?

CVE-2024-8068 y CVE-2024-8069 afectan al componente de grabación de sesiones de Citrix Virtual Apps and Desktops. Los atacantes pueden ejecutar código arbitrario de forma remota aprovechando la validación de entrada incorrecta en los servicios de grabación de sesiones al explotar con éxito estas fallas. Además, las nuevas fallas vinculadas a las configuraciones incorrectas MSMQ en los entornos de Citrix permiten a los atacantes enviar mensajes creados con fines malintencionados para lograr la grabación de sesiones remotas sin autenticación. Esto crea una ruta directa para que los adversarios comprometan las redes empresariales, roben datos o establezcan persistencia para futuros ataques. La combinación de estas vulnerabilidades resalta debilidades criticas tanto en los componentes de la aplicación como en los protocolos de mensajería subyacentes.

¿Por qué es de relevancia?

Citrix VAnD permite una productividad segura del usuario, lo que convierte cualquier riesgo en un evento de alto impacto. La capacidad de lograr una RCE no autenticada mediante configuraciones incorrectas MSMQ o el componente de grabación de sesiones aumenta la facilidad de explotación. Estas fallas resaltan una tendencia preocupante en la explotación de interdependencias complejas dentro de los ecosistemas de TI empresariales.

¿Cuál es el riesgo?

Las organizaciones que utilizan Citrix Virtual Apps and Desktops (VAnD) corren un riesgo considerable debido a la posibilidad de un RCE no autenticada. La explotación de CVE-2024-8068 y CVE-2024-8069 pueden provocar acceso no autorizado, robo de datos o interrupción del servicio al atacar el componente de grabación de sesiones. De manera similar, las fallas vinculadas a las configuraciones incorrectas de MSMQ permiten a los atacantes comprometer sistemas sin credenciales, lo que amplia aun mas la superficie de ataque. Una explotación exitosa podría otorgar a los atacantes control administrativo, lo que permitirá el movimiento lateral a través de redes, la exfiltración de datos confidenciales o la implementación de un Ransomware.

Recomendaciones

Se recomienda realizar las siguientes acciones para tomar medidas adicionales y reducir el riesgo de explotación protegiendo su infraestructura critica de esta y otras amenazas similares:

Aplique las actualizaciones que aborden CVE-2024-8068 y CVE-2024-8069 lo antes posible.
Deshabilite los servicios MSMQ innecesarios y garantice la autenticación y el cifrado adecuados para los mensajes a fin de evitar la explotación de configuraciones incorrectas.
Implemente herramientas de monitoreo de seguridad para detectar y responder a comportamientos inusuales o intentos de acceso no autorizado dirigidos a componentes Citrix.
Limite el acceso de red a los servidores y componentes de Citrix, en particular al servicio de grabación de sesiones y MSMQ, mediante firewalls y controles de acceso
Utilice herramientas de escaneo de vulnerabilidad y analizadores de configuración para identificar y remediar fallas en las implementaciones de MSMQ y Citrix de manera proactiva.
Asegúrese de que el personal de TI conozca las vulnerabilidades y las mejores practicas para proteger los entornos de Citrix.