CVE-2019-11634

Суть уязвимости

Злоумышленник, имеющий доступ к сессии Citrix (например, через скомпрометированные учетные данные), может обойти политики контроля доступа к локальным дискам клиента (например, запрет на чтение/запись с диска C:). Это позволяет выполнить произвольный код на компьютере пользователя, подключившегося к виртуальному рабочему столу или приложению, через уязвимый клиент.

Как исправить

Установите обновленную версию клиента Citrix Workspace App для Windows. Уязвимость устранена в следующих версиях: * LTSR (Long Term Service Release): Обновитесь до версии 1906.2 или новее. * CR (Current Release): Обновитесь до версии 1905 или новее.

Порядок действий: 1. Определите текущую версию через «Панель управления» → «Программы и компоненты». 2. Скачайте актуальный установщик с официального портала Citrix (https://www.citrix.com/downloads/workspace-app/). 3. Выполните установку поверх существующей версии (in-place upgrade).

Временное решение

Если немедленное обновление невозможно, примените следующие меры на стороне Citrix Virtual Apps and Desktops (ранее XenApp/XenDesktop):

1. Ужесточите политики ICA/HDX:

   • В консоли Citrix Studio перейдите в раздел «Политики».
   • Создайте или измените политику, применяемую к уязвимым конечным точкам.
   • Настройте следующие параметры:
     • Client drive redirection → Запретить (или строго ограничить доступ только к необходимым сетевым ресурсам).
     • Clipboard redirection → Запретить (для снижения риска перемещения данных).
   • Примените политику с наивысшим приоритетом.

2. Сегментируйте доступ:

   • Ограничьте доступ к опубликованным ресурсам только для необходимых групп пользователей по принципу наименьших привилегий.

Важно: Данные меры лишь снижают поверхность атаки, но не устраняют уязвимость полностью. Обновление клиента является обязательным.