Os engenheiros da Citrix lançaram uma série de Patches do Citrix Endpoint Management essa semana. Citrix espera ataques aos sistemas corporativos de gerenciamento de dispositivos móveis do XenMobile Server. Esses problemas dão ao invasor a capacidade de obter privilégios administrativos em sistemas vulneráveis.
A gravidade dos problemas encontrados, que recebeu IDs CVE CVE-2020-8208, CVE-2020-8209, CVE-2020-8210, CVE-2020-8211, e CVE-2020-8212, difere dependendo da versão do XenMobile usada.
Por isso, vulnerabilidades serão críticas para versões do XenMobile de 10.12 para RP2, de 10.11 para RP4, de 10.10 até RP6 e todas as versões até 10.9 PR5. Por sua vez, para versões XenMobile 10.12 para RP3, 10.11 para RP6, 10.10 para RP6 e até 10.9 PR5, a ameaça será baixa a média.
Os especialistas da empresa escrevem que todas as versões 10.9.x devem ser atualizadas imediatamente (de preferência até o mais recente 10.12 RP3), já que alguns problemas podem ser usados remotamente e sem autenticação. Atualmente, mais do que 70% dos clientes potencialmente vulneráveis que foram previamente notificados sobre problemas já instalaram as correções disponíveis.
“Recomendamos atualizar imediatamente. Embora atualmente não haja explorações conhecidas [para esses problemas], esperamos que os invasores os utilizem muito em breve”, — avisa a empresa.
Deixe-me lembrá-lo de que os usuários Citrix são bastante inertes, e depois de patches de um bug perigoso do passado, 20% das empresas permaneceram vulneráveis. Você não deve esperar que alguns hackers nobres consertem seus sistemas para você, embora isso já aconteceu.
Embora os especialistas da Citrix não divulguem os detalhes do problema descoberto, Especialista em Tecnologias Positivas Andrey Medov descobriu o CVE-2020-8209 vulnerabilidade. Ele disse que pertence à classe Path Traversal e está relacionado à validação insuficiente dos dados de entrada.
“A exploração desta vulnerabilidade fornece informações que podem ser úteis ao cruzar o perímetro, já que o arquivo de configuração geralmente armazena uma conta de domínio para conexão ao LDAP”, — diz o especialista.
Um invasor remoto pode usar os dados recebidos para autenticar outros recursos externos da empresa: correio corporativo, VPN, Aplicativos da web. Além disso, lendo o arquivo de configuração, um invasor pode obter acesso a dados importantes, por exemplo, a senha do banco de dados (por padrão – do PostgreSQL local, em alguns casos – do SQL Server remoto).
No entanto, dado que o banco de dados está localizado dentro do perímetro corporativo e não pode ser conectado a ele de fora, este vetor só pode ser usado em ataques complexos, por exemplo, com a ajuda de um cúmplice dentro da empresa.