CVE-2024-8069
Citrix Session Recording
2025-08-25
Citrix Session Recording contains a deserialization of untrusted data vulnerability that allows limited remote code execution with privilege of a NetworkService Account access. Attacker must be an authenticated user on the same intranet as the session recording server.
Технический анализ и план устранения
Суть уязвимости
Уязвимость CVE-2024-8069 в Citrix Session Recording вызвана недостатками в механизме десериализации недоверенных данных. Для успешной эксплуатации злоумышленнику необходимо выполнить два условия: быть аутентифицированным пользователем и находиться в той же внутренней сети (интранете), что и целевой сервер. Отправив специально сформированный сериализованный payload, атакующий может заставить сервер выполнить произвольный код (RCE). Код будет выполнен с привилегиями учетной записи NetworkService, что дает злоумышленнику ограниченный, но достаточный доступ для потенциального повышения привилегий, кражи записанных сессий пользователей или дальнейшего продвижения по корпоративной сети.
Как исправить
Единственным полным и надежным способом устранения данной уязвимости является установка официальных исправлений от вендора (Citrix). Вам необходимо обновить компонент Citrix Session Recording до одной из следующих версий (или более новых), в которых дефект десериализации устранен: Citrix Session Recording 2407 Citrix Session Recording 2402 LTSR CU1 Citrix Session Recording 2203 LTSR CU5 Citrix Session Recording 1912 LTSR CU9 Перед началом работ обязательно выполните резервное копирование базы данных Session Recording и создайте snapshot виртуальной машины сервера. Для проверки текущей установленной версии на сервере используйте следующую команду:
Get-WmiObject -Class Win32_Product | Where-Object {$_.Name -match "Citrix Session Recording"} | Select-Object Name, Version
После скачивания актуального дистрибутива с портала Citrix, запустите установщик и следуйте инструкциям мастера обновления. После завершения установки перезагрузите сервер и убедитесь, что службы Session Recording (например, Citrix Session Recording Storage Manager и Citrix Session Recording Server) запущены и работают корректно.
Временные меры
Если немедленное обновление инфраструктуры невозможно в связи с бизнес-процессами, необходимо внедрить компенсирующие меры для снижения риска эксплуатации. Реализуйте строгую сетевую сегментацию: ограничьте доступ к портам сервера Session Recording (обычно TCP 443, 1801) только для тех VDA-агентов и администраторов, которым он действительно необходим. Для ограничения доступа на уровне локального брандмауэра Windows можно использовать команду (замените IP-адреса на ваши доверенные подсети):
New-NetFirewallRule -DisplayName "Restrict Session Recording Access" -Direction Inbound -LocalPort 443,1801 -Protocol TCP -Action Allow -RemoteAddress "10.0.0.0/8"
Затем заблокируйте весь остальной трафик к этим портам:
New-NetFirewallRule -DisplayName "Block Untrusted Session Recording Access" -Direction Inbound -LocalPort 443,1801 -Protocol TCP -Action Block
Усильте контроль за учетными записями: поскольку для атаки требуется аутентификация, убедитесь, что в сети внедрена многофакторная аутентификация (MFA), а парольные политики соответствуют современным стандартам.
Настройте правила в вашей EDR или SIEM системе для мониторинга процессов Citrix Session Recording (в частности, рабочих процессов IIS w3wp.exe, связанных с пулом Session Recording, и службы SsRecStorageManager.exe).
Отслеживайте порождение подозрительных дочерних процессов (например, cmd.exe, powershell.exe, certutil.exe) от родительских процессов Citrix.
Для ручного поиска подозрительных запусков процессов в журналах Windows можно использовать следующий запрос:
Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4688} | Where-Object {$_.Message -match "w3wp.exe" -or $_.Message -match "SsRecStorageManager.exe"}