Aggiornamento importante su Citrix Receiver e l’applicazione Workspace

15/05/2019

citrix citrix receiver citrix workspace CVE-2019-11634 rce windows

I ricercatori di NCC Group hanno individuato una vulnerabilità critica sulle applicazioni Citrix Workspace e Citrix Receiver che in caso di sfruttamento potrebbe permettere l’accesso remoto allo storage dell’host Windows attraverso i browser Edge, Internet Explorer, Firefox e Chrome attraverso un server Citrix malevolo. Gli utenti interessati dovrebbero aggiornare le app Citrix Workspace e Citrix Receiver per Windows alle build più recenti.

Citrix Workspace e Receiver sono software client che forniscono un accesso sicuro alle applicazioni, ai dati e ai desktop del proprio ambiente di lavoro attraverso un’unica interfaccia e da qualsiasi dispositivo, inclusi smartphone, tablet, PC e Mac. Citrix Workspace è il nuovo client che dal 2018 ha sostituito Receiver; funziona in modo simile a Citrix Receiver oltre a essere completamente compatibile con le versioni precedenti dell’infrastruttura Citrix.

Approfondimenti

Lo sfruttamento della vulnerabilità (CVE-2019-11634) necessita dell’autorizzazione dell’utente per l’accesso da parte dell’app alla memoria locale dell’host durante la connessione. Tuttavia tale richiesta appare solo sulle sessioni avviate con i file .ica o simili, mentre non avviene con le sessioni avviate da browser. Con Microsoft Edge e Internet Explorer non è necessaria alcuna interazione con l’utente, mentre con Google Chrome e Mozilla Firefox, potrebbe essere richiesto un solo clic a seconda della configurazione.

In caso di exploitation, l’attaccante potrebbe avere accesso allo storage dell’utente ed esfiltrare dati sensibili e/o eseguire codice da remoto.

Prodotti vulnerabili

  • Citrix Workspace per Windows versione  <1904
  • Citrix Receiver per Windows versione <  LTSR 4.9 CU6 4.9.6001

Remediation

Il CERT-PA consiglia agli amministratori di sistema di aggiornare immediatamente le applicazioni Citrix Workspace app alla versione 1904 o più recente o Citrix Receiver per Windows LTSR 4.9 CU6 alla versione 4.9.6001 o più recente.