WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
443 bài viết
Citrix Workspace tồn tại lỗ hổng cho phép tấn công thiết bị từ xa
Citrix vừa thông báo cho khách hàng về bản vá cho lỗ hổng trên Citrix Workspace có thể cho phép tin tặc thực hiện tấn công từ xa.
Citrix Workspace là giải pháp không gian kỹ thuật số, cung cấp một không gian làm việc an toàn trong trong môi trường ảo hóa.
Lỗ hổng an ninh (CVE-2020-8207) được đánh giá ở mức độ nghiêm trọng cao, ảnh hưởng đến dịch vụ cập nhật tự động của ứng dụng Citrix Workspace dành cho Windows và có thể bị khai thác bởi kẻ tấn công cục bộ để leo thang đặc quyền, hoặc bởi một kẻ tấn công từ xa nhằm thực thi lệnh tùy ý.
Công ty Pen Test Partners đã phát hiện và công bố cách thức khai thác lỗ hổng này trên một bài blog. Đơn vị này cho biết kẻ tấn công cục bộ có thể khai thác lỗ hổng để leo thang đặc quyền lên tài khoản HỆ THỐNG và thực thi lệnh tùy ý từ xa.
Video chi tiết về cách khai thác lỗ hổng:
Pen Test Partners giải thích: “Bằng cách gửi một message tự tạo qua một named pipe (giao diện cấp cao phục vụ việc truyền dẫn dữ liệu giữa các tiến trình thực thi trên các máy khác nhau có kết nối mạng) và giả mạo ID tiến trình client, Workspace Updater Service của Citrix có thể được kích hoạt để thực thi một tiến trình tùy ý bằng tài khoản quản trị. Các môi trường không thực hiện ký SMB thường sẽ dính lỗ hổng do cuộc tấn công có thể được thực hiện mà không cần đến thông tin đăng nhập hợp lệ qua xác thực NTLM”.
Citrix cho biết lỗ hổng chỉ ảnh hưởng đến ứng dụng Citrix Workspace dành cho các phiên bản Windows 1912LTST và 2002, trong khi bản vá đã được cập nhật trong các phiên bản 1912LTST CU1 và 2006.1.
Theo Citrix chỉ các phiên bản Workspace dành cho Windows mới bị ảnh hưởng và lỗ hổng cũng chỉ tồn tại nếu ứng dụng được cài sử dụng tài khoản admin local hoặc domain. Các cuộc tấn công từ xa chỉ xảy ra nếu SMB được kích hoạt và dịch vụ cập nhật bị ảnh hưởng đang chạy trên hệ thống.
Đầu tháng 7, Citrix đã thông báo cho khách hàng về việc vá 11 lỗ hổng trong các sản phẩm mạng của mình là ADC, Gateway và SD-WAN nhưng đánh giá thấp mức độ ảnh hưởng. Tuy nhiên, sau khi được tiết lộ vài ngày, các nhà nghiên cứu nhận thấy có kẻ đã bắt đầu quét các hệ thống tồn tại lỗ hổng.
Citrix phủ nhận hệ thống của mình bị vi phạm sau khi có các báo cáo cho rằng thông tin người dùng của công ty đã bị đem bán trên web đen. Công ty cho biết dữ liệu đến từ bên thứ ba và đó là những thông tin không quá nhạy cảm.
Citrix Workspace là giải pháp không gian kỹ thuật số, cung cấp một không gian làm việc an toàn trong trong môi trường ảo hóa.
Lỗ hổng an ninh (CVE-2020-8207) được đánh giá ở mức độ nghiêm trọng cao, ảnh hưởng đến dịch vụ cập nhật tự động của ứng dụng Citrix Workspace dành cho Windows và có thể bị khai thác bởi kẻ tấn công cục bộ để leo thang đặc quyền, hoặc bởi một kẻ tấn công từ xa nhằm thực thi lệnh tùy ý.
Công ty Pen Test Partners đã phát hiện và công bố cách thức khai thác lỗ hổng này trên một bài blog. Đơn vị này cho biết kẻ tấn công cục bộ có thể khai thác lỗ hổng để leo thang đặc quyền lên tài khoản HỆ THỐNG và thực thi lệnh tùy ý từ xa.
Video chi tiết về cách khai thác lỗ hổng:
Pen Test Partners giải thích: “Bằng cách gửi một message tự tạo qua một named pipe (giao diện cấp cao phục vụ việc truyền dẫn dữ liệu giữa các tiến trình thực thi trên các máy khác nhau có kết nối mạng) và giả mạo ID tiến trình client, Workspace Updater Service của Citrix có thể được kích hoạt để thực thi một tiến trình tùy ý bằng tài khoản quản trị. Các môi trường không thực hiện ký SMB thường sẽ dính lỗ hổng do cuộc tấn công có thể được thực hiện mà không cần đến thông tin đăng nhập hợp lệ qua xác thực NTLM”.
Citrix cho biết lỗ hổng chỉ ảnh hưởng đến ứng dụng Citrix Workspace dành cho các phiên bản Windows 1912LTST và 2002, trong khi bản vá đã được cập nhật trong các phiên bản 1912LTST CU1 và 2006.1.
Theo Citrix chỉ các phiên bản Workspace dành cho Windows mới bị ảnh hưởng và lỗ hổng cũng chỉ tồn tại nếu ứng dụng được cài sử dụng tài khoản admin local hoặc domain. Các cuộc tấn công từ xa chỉ xảy ra nếu SMB được kích hoạt và dịch vụ cập nhật bị ảnh hưởng đang chạy trên hệ thống.
Đầu tháng 7, Citrix đã thông báo cho khách hàng về việc vá 11 lỗ hổng trong các sản phẩm mạng của mình là ADC, Gateway và SD-WAN nhưng đánh giá thấp mức độ ảnh hưởng. Tuy nhiên, sau khi được tiết lộ vài ngày, các nhà nghiên cứu nhận thấy có kẻ đã bắt đầu quét các hệ thống tồn tại lỗ hổng.
Citrix phủ nhận hệ thống của mình bị vi phạm sau khi có các báo cáo cho rằng thông tin người dùng của công ty đã bị đem bán trên web đen. Công ty cho biết dữ liệu đến từ bên thứ ba và đó là những thông tin không quá nhạy cảm.
Theo SecurityWeek