Hogyan működik a támadás?
A hiba lényege, hogy a támadó egy szándékosan hibás POST kérést küld a bejelentkezéskor, amelyben a login paraméterhez nem rendel értéket, csak magát a kulcsot adja meg – például login helyett login=. Ennek hatására a NetScaler memóriatartalmat jelenít meg a válaszban az szakaszban, egészen az első előforduló null-karakterig. A rés kihasználásának hátterében az snprintf függvény helytelen használata áll: a %.*s formázási utasítás annyi karaktert ír ki, amennyi egy adott határig, vagy az első null-pozícióig található a memóriában. Minden hibás lekérdezéssel újabb, eddig nem inicializált adat kerül elő – egyszerre körülbelül 127 bájt –, amit a támadó ismételt HTTP kérésekkel tovább bővíthet, akár érzékeny információkig jutva.
A tét: felhasználói fiókok, admin-hozzáférések
A hibát elsőként a WatchTowr és a Horizon3 kutatói elemezték; utóbbi egy bemutató videóban igazolta, hogy a módszerrel sikeresen megszerezhetők felhasználói session-tokenek. Nemcsak a végfelhasználói kapcsolatok, hanem az adminisztrátori konfigurációs felület is érintett. Ez azt jelenti, hogy a támadók akár teljes adminisztrátori jogosultságot is szerezhetnek hasonló trükkökkel.
Súlyos következmények a cégek számára
A Citrix hivatalosan tagadja, hogy már folynának aktív támadások, ám egy kiberbiztonsági cég júniusi jelentésében már több gyanús munkamenet-eltérítést is felderítettek, sőt, egy szakértő június közepe óta aktív kiaknázást azonosított. Jellemző jelek: a NetScaler logokban ismétlődő POST kérések a doAuthentication végpontra, mindegyiknél körülbelül 127 bájt RAM kerül kiszivárogtatásra. Gyakori továbbá, hogy a LOGOFF eseményeknél szokatlan felhasználónevek, például a # karakter jelennek meg.
A Citrix már kiadta a szükséges biztonsági javítást. Az azonnali frissítés erősen ajánlott! Emellett érdemes minden aktív felhasználói munkamenetet áttekinteni, gyanús tevékenységeket keresve – mielőtt minden sessiont egyből megszakítanánk.
Lezárás
A CitrixBleed2 tipikus példája annak, hogy bár a felhős támadások egyre kifinomultabbak, a legsúlyosabb kompromittálódásokhoz ma is szinte gyermeteg hibák is elegendőek. A biztonság továbbra is az alapoktól kezdődik: folyamatos frissítés, logelemzés és tudatosság nélkül nem lehet a támadók előtt járni.
