CVE-2024-8069

Accès non authentifié aux ressources réseau via Citrix

Une vulnérabilité critique a été découverte dans Citrix Virtual Apps and Desktops, permettant à des attaquants non authentifiés d’accéder à distance aux réseaux. L’exploitation repose sur l’envoi de requêtes HTTP à Microsoft Message Queuing (MSMQ), une fonctionnalité que Citrix a activée par défaut pour la communication via HTTP, contournant ainsi les protections normales. Cette faille, dont le score CVSS devrait être élevé, a été démontrée avec une preuve de concept et des tentatives d’exploitation ont déjà été observées.

Points clés :

• Vulnérabilité : Accès réseau à distance non authentifié.
• Cause : Utilisation de MSMQ via HTTP par Citrix Virtual Apps and Desktops, permettant une communication directe depuis n’importe quel hôte.
• Impact potentiel : Accès non authentifié et exploitation à distance des systèmes vulnérables.
• Découverte : Par Watchtowr, avec une preuve de concept publiée.
• Exploitation observée : Tentatives d’exploitation suivies par la fondation Shadowserver.

Vulnérabilités :

• CVE-2024-8069 (Citrix Virtual Apps and Desktops)

Recommandations :

Bien que l’article ne fournisse pas de recommandations directes, la nature de la faille suggère des mesures immédiates :

• Mise à jour : Appliquer les correctifs de sécurité officiels dès qu’ils sont disponibles auprès de Citrix.
• Configuration : Examiner et restreindre l’exposition de MSMQ à HTTP si possible, en attendant les correctifs.
• Surveillance : Surveiller activement les journaux pour détecter toute activité suspecte liée à MSMQ ou à des tentatives d’exploitation.

Source