Très récemment, Citrix a annoncé à ses clients que des failles et des vulnérabilités ont été découvertes dans sa solution Virtual Apps et sa solution desktops. Suite à cela, la société a déjà pris les devant en publiant des correctifs à installer rapidement pour que ses clients puissent se protéger des attaques malveillantes.
Dans le paysage numérique d’aujourd’hui, les failles de sécurité deviennent des défis majeurs pour les entreprises. Dans ce contexte, la société Citrix a découvert des failles dans sa solution de virtualisation de bureau qu’un pirate peut exploiter. Avec ses vulnérabilités, les RSSI sont invités à effectuer quelques mises à niveau. Les experts de WatchTowr à l’origine de la découverte des failles ont mis notamment en garde les utilisateurs contre la possibilité d’une attaque MSMQ via http. L’une des conséquences peut être la prise de contrôle à distance du poste de travail hacké. Néanmoins, il semble que Citrix et WatchTowr ne soient pas d’accord sur le niveau de gravité des failles.
Failles sur failles découvertes
Ces temps-ci, il semblerait que bon nombre de failles ont été découvertes par les experts de WatchTowr concernant Citrix. En effet, selon un rapport paru dans un blog, à part cette vulnérabilité de Citrix Virtual Apps, une autre faille a été découverte. Dans les faits, il semble qu’un processus de sérialisation dans le gestionnaire de stockage Session Recording Storage Manager peut être exploité afin que les utilisateurs authentifiés puissent avoir un contrôle total.
D’ailleurs, selon les professionnels de la cybersécurité de WatchTowr, Citrix utilise encore BinaryFormatter lors de la désérialisation, ce qui est grave comme l’affirme les experts :
« Nous savons depuis longtemps que l’utilisation d’un BinaryFormatter pour la désérialisation est presque toujours dangereuse, […] Il expose de nombreuses fonctionnalités à quiconque peut lui fournir des messages et, même s’il peut être utilisé en toute sécurité, son usage est tellement pénalisant que Microsoft elle-même dit qu’il ne devrait pas être utilisé. »
Tout comme les algorithmes qui permettent d’effectuer une simulation de portage salarial en ligne, cette faille exploite un bogue technique pour accéder à MSMQ via http. En temps normal, le support http n’est pas exécutable dans un environnement virtuel Citrix, mais pour d’obscures raisons il est activé lorsque le bureau virtuel est installé. À titre d’information, le bogue dans MSMQ est référencé en tant que CVE-2024-21554 dans le catalogue des failles actives.
Des mises à niveau et des correctifs à appliquer côté client
En connaissant l’existence des failles et en ayant déjà pris soin de faire le nécessaire, Citrix a publié un bulletin de sécurité. Dans ce dernier, la société recommande à ses clients de procéder à l’installation des mises à niveau requises dès que le calendrier de mise à jour le permet. Ici, deux failles sont concernées dans l’environnement Citrix Session Recording, à savoir : la faille CVE-2024-8068 qui a un scoring de 5.1 et la faille CVE-2024-8069 qui a le même score CVSS.
Côté urgence de la vulnérabilité, la société préconise une installation de mise à niveau préventive – à l’exemple de l’exécution d’une simulation de portage salarial pour anticiper et optimiser la gestion des revenus d’un salarié.
Selon Citrix, chaque appareil et terminal est différent de ce fait les priorités de sécurités aussi. Dans le communiqué de l’entreprise, elle annonce que plus de 29 000 CVE et correctifs ont déjà été enregistrés et publiés. Toutefois, ce chiffre se base sur les trois premiers trimestres de l’année 2024 et est supérieur à l’ensemble de l’année 2023.
Il est à savoir que les vulnérabilités se trouvent dans la fonction enregistrement de session pour Desktops et Session Recording de Citrix Virtual Apps. Ces deux sessions proposent aux experts IT de faire un enregistrement vidéo des mouvements du clavier et de la souris à des fins de surveillance et de sécurité. Les vidéos sont ensuite stockées sur le serveur de Citrix.
Cet article vous a-t-il été utile ?
Note moyenne 0 / 5. Votants: 0