Citrixov uberAgent, sofisticirani alat za praćenje koji se koristi za poboljšanje performansi i sigurnosti na Citrix platformama, identifikovan je kao kritična ranjivost.
Propust, katalogizovan pod CVE-2024-3902, mogao bi omogućiti napadačima da eskaliraju svoje privilegije unutar sistema, predstavljajući značajnu prijetnju organizacijama koje koriste pogođene softverske verzije.
Ranjivost izričito utiče na Citrix uberAgent verzije prije 7.1.2. Nastaje pod određenim konfiguracijama gdje je uberAgent postavljen s specifičnim CitrixADC metrikama i WmiProvider -om baziranim na PowerShell-u.
Nedostatak omogućava napadaču, koji već ima pristup mreži, da manipuliše mogućnostima prikupljanja podataka uberAgent-a za izvršavanje naredbi s povišenim privilegijama.
Pogođene konfiguracije
Citrix uberAgent verzije prije 7.1.2
Konfiguracije s najmanje jednim CitrixADC_Config unos i jednom od sljedećih metrika:
- CitrixADCPerformanse
- CitrixADCvServer
- CitrixADCGateways
- CitrixADCInventory
Za verzije 7.0 do 7.1.1, WmiProvider mora biti postavljen na PowerShell s najmanje jednom konfiguracijom metrike CitrixSession.
Strategije ublažavanja
Citrix je izdao hitan savjet svim svojim kupcima koristeći pogođene verzije uberAgent-a za ažuriranje njihovog softvera na verziju 7.1.2 ili kasnije odmah.
Također su osigurali privremene korake ublažavanja za organizacije koje se ne mogu odmah nadograditi:
- Onemogućite sve metrike CitrixADC uklanjanjem specifičnih svojstava tajmera.
- Promijenite postavku WmiProvider iz PowerShell-a na WMIC ili osigurajte da nije konfigurisan.
Ovi koraci namijenjeni su smanjenju rizika dok se softver ne ažurira na sigurnu verziju.
Otkrivanje ove ranjivosti naglašava izazove s kojima se organizacije suočavaju u osiguravanju složenih IT okruženja.
uberAgent se široko koristi za svoje detaljne analitičke i nadzorne mogućnosti, koje učinkovito podržavaju IT administratore u efikasnom upravljanju fizičkim i virtualnim okruženjima.
Alat se integriše s platformama poput Spunka kako bi pružio veliku vidljivost u performanse i sigurnost sistema.
Međutim, ovaj incident ističe potencijalne rizike povezane sa čak i najpouzdanijim sigurnosnim alatima.
Organizacijama se savjetuje da preispitaju svoje trenutne konfiguracije i odmah primjenjuju potrebna ažuriranja ili ublažavanja kako bi zaštitili svoju IT infrastrukturu od potencijalnih iskorištavanja.
Odgovor Citrixa
Kao odgovor na otkriće ranjivosti CVE-2024-3902, Citrix je brzo postupio kako bi ispravio to pitanje i podržao svoju korisničku bazu.
Kompanija je ažurirala svoj softver i blisko surađuje s kupcima kako bi osigurala da se ažuriranja učinkovito provode.
Citrix se također zahvalio istraživačima sigurnosti koji su identifikovali ranjivost, naglašavajući vrijednost kolaborativnih sigurnosnih napora.
Izvor: CyberSecurityNews