watchTowr 的安全研究人员在 Citrix 会话记录管理器中发现了两个关键漏洞，如果将这两个漏洞串联起来，就可以在 Citrix 虚拟应用程序和桌面上执行未经验证的远程代码 (RCE)。这一发现引起了依赖这些平台的企业的严重关切，因为攻击者可以利用这些漏洞完全控制易受攻击的系统。

这些漏洞被追踪为CVE-2024-8068和CVE-2024-8069，源于权限配置错误的Microsoft Message Queuing（MSMQ）实例的暴露和不安全BinaryFormatter类的使用。这使得攻击者可以从任何主机通过 HTTP 访问有漏洞的 MSMQ 服务，并以 NetworkService 账户的权限执行任意代码。

watchTowr 安全研究员 Sina Kheirkhah 解释说：“一个不小心暴露的 MSMQ 实例可以通过 HTTP 被利用，对 Citrix 虚拟应用程序和桌面执行未经验证的 RCE。”

不过，思杰强调，利用这些漏洞需要攻击者拥有对 Windows Active Directory 域的认证访问权限，并且与目标会话记录服务器位于同一内网上。

Kheirkhah在其博客上发布了对这些漏洞的详细技术分析，并在GitHub上发布了概念验证利用代码，进一步强调了解决这些漏洞的紧迫性。

针对这些发现，思杰发布了安全公告，并敦促客户尽快将会话记录管理器更新到最新的修补版本。受影响的版本包括

• Citrix Virtual Apps and Desktops 2407 hotfix 24.5.200.8之前的版本
• Citrix Virtual Apps and Desktops 1912 LTSR before CU9 hotfix 19.12.9100.6
• Citrix 虚拟应用程序和桌面 2203 CU5 前的 LTSR 热修复程序 22.03.5100.11
• Citrix 虚拟应用程序和桌面 2402 CU1 补丁前的 LTSR 24.02.1200.16

微软自己也承认 BinaryFormatter 固有的不安全性，建议将其淘汰，转而使用更安全的替代程序。

Citrix 的会话记录管理器通常被管理员用于 Citrix 虚拟应用程序和桌面的审计、合规性和故障排除。该工具记录用户活动，包括键盘和鼠标输入以及桌面会话视频。如果该漏洞被利用，攻击者就可以在未经授权的情况下访问敏感的用户数据，甚至篡改会话记录，给企业带来严重的隐私和合规问题。

强烈建议使用 Citrix 虚拟应用程序和桌面的企业优先为其系统打补丁，以降低潜在的攻击风险。延迟这些更新可能会使它们遭受严重的安全漏洞和运营中断。