CVE-2024-8068

Citrix Session Recording

ВЕРОЯТНОСТЬ 8.1%
Дата обнаружения

2025-08-25

Официальное описание

Citrix Session Recording contains an improper privilege management vulnerability that could allow for privilege escalation to NetworkService Account access. An attacker must be an authenticated user in the same Windows Active Directory domain as the session recording server domain.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-8068 — это уязвимость некорректного управления привилегиями (Improper Privilege Management) в компоненте Citrix Session Recording.

  • Уязвимость позволяет злоумышленнику осуществить локальное повышение привилегий (Privilege Escalation) на сервере до уровня встроенной системной учетной записи NetworkService.
  • Для успешной эксплуатации атакующий уже должен иметь легитимные учетные данные и быть аутентифицированным пользователем в том же домене Windows Active Directory, в котором развернут сервер Citrix Session Recording.
  • Получение прав NetworkService может позволить атакующему взаимодействовать с сетевыми ресурсами от имени учетной записи компьютера (сервера Session Recording) и потенциально развить атаку внутри инфраструктуры.

Как исправить

Единственным надежным способом устранения данной уязвимости является обновление компонента Citrix Session Recording до пропатченной версии, выпущенной вендором.

  1. Запланируйте технологическое окно для обновления инфраструктуры Citrix.
  2. Перейдите на официальный портал загрузок Citrix (Citrix Downloads).
  3. Скачайте и установите одну из следующих безопасных версий (или более новую):
  4. Citrix Session Recording 2407
  5. Citrix Session Recording 2402 LTSR CU1
  6. Citrix Session Recording 2203 LTSR CU5
  7. Citrix Session Recording 1912 LTSR CU9
  8. После завершения установки перезагрузите сервер, если этого требует мастер установки.
  9. Убедитесь, что обновление прошло успешно, проверив версию установленного ПО через реестр:
Get-ItemProperty HKLM:\Software\Microsoft\Windows\CurrentVersion\Uninstall\* | Where-Object {$_.DisplayName -like "*Citrix Session Recording*"} | Select-Object DisplayName, DisplayVersion

Временные меры

Если немедленное обновление невозможно, необходимо внедрить компенсирующие меры для снижения риска эксплуатации.

  1. Ограничьте сетевой доступ к серверу Session Recording на уровне межсетевого экрана. Разрешите входящие подключения (например, по портам 443, 1801) строго от доверенных IP-адресов VDA-машин и рабочих станций администраторов.
  2. Изолируйте серверы инфраструктуры Citrix в отдельный VLAN с жестким контролем доступа (ACL).
  3. Усильте мониторинг событий безопасности (SIEM) на сервере Session Recording. Обращайте особое внимание на запуск нестандартных процессов, создание дампов памяти или попытки доступа к критичным файлам от имени учетной записи NetworkService.
  4. Для оперативного аудита недавних успешных входов (Event ID 4624) под учетной записью Network Service используйте команду:
Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4624} -MaxEvents 100 | Where-Object {$_.Properties[5].Value -match 'NETWORK SERVICE'}
  1. Проведите аудит Active Directory на предмет избыточных прав у рядовых пользователей, так как для эксплуатации требуется доменная аутентификация. Отключите неиспользуемые учетные записи.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей