Citrix hôm nay đã phát hành các bản vá cho nhiều lỗ hổng bảo mật mới ảnh hưởng đến Quản lý điểm cuối Citrix (CEM), còn được gọi là XenMobile, một sản phẩm dành cho doanh nghiệp nhằm giúp các công ty quản lý và bảo mật thiết bị di động của nhân viên từ xa.
Citrix Endpoint Management cung cấp cho các doanh nghiệp khả năng quản lý thiết bị di động (MDM) và quản lý ứng dụng di động (MAM). Nó cho phép các công ty kiểm soát những ứng dụng mà nhân viên của họ có thể cài đặt trong khi đảm bảo các bản cập nhật và cài đặt bảo mật được áp dụng để bảo vệ thông tin doanh nghiệp.
Theo Citrix, có tổng số 5 lỗ hổng ảnh hưởng đến các phiên bản tại chỗ của máy chủ XenMobile được sử dụng trong doanh nghiệp để quản lý tất cả các ứng dụng, thiết bị hoặc nền tảng từ một vị trí trung tâm.
Nếu không được vá và khai thác thành công, các lỗ hổng bảo mật mới được xác định có thể cho phép những kẻ tấn công chưa được xác thực có được đặc quyền quản trị trên các Máy chủ XenMobile bị ảnh hưởng.
Công ty cảnh báo: “Chúng tôi khuyến nghị những nâng cấp này nên được thực hiện ngay lập tức. Mặc dù không có hành vi khai thác nào được biết đến như trong bài viết này, nhưng chúng tôi dự đoán những kẻ xấu sẽ nhanh chóng tiến hành khai thác”, công ty cảnh báo.
Hai lỗ hổng — được theo dõi là CVE-2020-8208 và CVE-2020-8209 và được đánh giá là nghiêm trọng — tác động sau các phiên bản Máy chủ XenMobile:
- XenMobile Server 10.12 trước RP2
- XenMobile Server 10.11 trước RP4
- XenMobile Server 10.10 trước RP6
- Máy chủ XenMobile trước 10,9 RP5
Trong khi đó, ba lỗ hổng bảo mật khác — được theo dõi là CVE-2020-8210, CVE-2020-8211 và CVE-2020-8212 và được xếp hạng mức độ nghiêm trọng trung bình / thấp — nằm trong các phiên bản sau:
- XenMobile Server 10.12 trước RP3
- XenMobile Server 10.11 trước RP6
- XenMobile Server 10.10 trước RP6
- Máy chủ XenMobile trước 10,9 RP5
Một trong những sai sót nghiêm trọng (CVE-2020-8209), do Andrey Medov của Positive Technologies phát hiện, có thể cho phép kẻ tấn công chưa được xác thực đọc các tệp tùy ý bên ngoài thư mục gốc của máy chủ web, bao gồm các tệp cấu hình và khóa mã hóa cho dữ liệu nhạy cảm.
Mendov giải thích: “Việc khai thác lỗ hổng này cho phép tin tặc lấy được thông tin có thể hữu ích cho việc xâm phạm ngoại vi, vì tệp cấu hình thường lưu trữ thông tin đăng nhập tài khoản miền để truy cập LDAP.
Do đó, với quyền truy cập vào tài khoản miền, kẻ tấn công từ xa có thể nhắm mục tiêu đến các tài nguyên bên ngoài khác của công ty, chẳng hạn như thư công ty, VPN và các ứng dụng web.
Điều tồi tệ hơn, theo nhà nghiên cứu, là kẻ tấn công đã quản lý để đọc tệp cấu hình có thể truy cập vào dữ liệu nhạy cảm, chẳng hạn như mật khẩu cơ sở dữ liệu (PostgreSQL cục bộ theo mặc định và cơ sở dữ liệu SQL Server từ xa trong một số trường hợp).
Tuy nhiên, vì cơ sở dữ liệu được lưu trữ bên trong chu vi công ty và không thể truy cập từ bên ngoài, Mendov nói, “vectơ tấn công này chỉ có thể được sử dụng trong các cuộc tấn công phức tạp, chẳng hạn với sự tham gia của đồng phạm nội gián.”
“Các bản vá lỗi mới nhất cần được áp dụng cho các phiên bản 10.9, 10.10, 10.11 và 10.12 có sẵn ngay lập tức”, Citrix lưu ý trong một bài đăng trên blog.
“Mọi phiên bản trước 10.9.x phải được nâng cấp lên phiên bản được hỗ trợ với bản vá mới nhất. Chúng tôi khuyên bạn nên nâng cấp lên 10.12 RP3, phiên bản được hỗ trợ mới nhất.”
Kể từ khi các sản phẩm Citrix gần đây đã nổi lên như một trong những mục tiêu ưa thích của tin tặc sau khi khai thác hoang dã Citrix ADC, Cổng vào và Sharefile lỗ hổngs, người dùng được khuyến nghị vá hệ thống của họ lên phiên bản mới nhất của phần mềm.
Cần lưu ý, công ty vẫn chưa tiết lộ chi tiết kỹ thuật về các lỗ hổng nhưng đã thông báo trước cho một số CERT lớn trên thế giới và khách hàng của họ vào ngày 23 tháng 7.
