#0x01前言
“Citrix即美国思杰公司,是一家致力于云计算虚拟化、虚拟桌面和远程接入技术领域的高科技企业。现在流行的BYOD(Bring Your Own Device自带设备办公)就是Citrix公司提出的。1997年Citrix确立的发展愿景“让信息的获取就像打电话一样简洁方便,让任何人在任何时间、任何地方都可以随时获取”,这个构想就是今天移动办公的雏形,随着互联网技术的快速发展,通过基于云计算技术的虚拟桌面,人们可以在任何时间、任何地点使用任何设备接入自己的工作环境,在各种不同的场景间无缝切换,使办公无处不在,轻松易行,越来越多的企业选择使用Citrix来进行远程办公,可是其中的隐患在作者看来还是很大的。
”
#0x02历史漏洞
(CVE-2020-ianianian)Citrix 目录遍历漏洞
(CVE-2020-8209)Citrix XenMobile目录遍历任意文件读取漏洞
(CVE-2020-8198)Citrix 储存型xss
(CVE-2020-8196)Citrix Nitro API 未授权访问漏洞
(CVE-2020-8195)Citrix 未授权访问漏洞
(CVE-2020-8194)Citrix 未授权访问导致的任意代码执行漏洞
01
—
Citrix虚拟化与域
Citrix虚拟化应用常常与AD域绑定,如果被登录,将会对整个域安全造成非常重大的风险
采用一条攻击路径体现危害:
访问URL http://127.0.0.1进入登录页面,通过账号/密码:test/123456成功登录页面
下载客户端和导入证书,再次登录即可登录虚拟化桌面
使用Citrix Receiver打开虚拟化出来的各种应用,比如资源管理器,ie浏览器等等,通过资源管理器打开c:/windows/system32/cmd.exe,便可执行系统命令
通过命令net user /domain查看域用户信息
通过横向渗透使用mimikatz抓取服务器密码,抓到了citrix控制台服务器账号密码xxxxx/xxxx,可控制citrix域账户以及所有主机
02
—
Citrix中的缺陷
Citrix虚拟化出来的应用直接接入AD域,这样并不安全,如果某个账号存在弱口令,可令攻击者直接进入AD域,拿到域管账号密码,造成AD域沦陷。
登录Citrix没有强制的密码策略,可以使用常规的123456、1qaz@WSX、111111进行登录。
打开虚拟化应用后,可直接和本机交互(本机可直接复制粘贴文件到服务器中)
如果虚拟化里面的服务器不出网,不能复制粘贴上传不了工具,这样就不能进行内网横向渗透,可是Citrix提供了复制粘贴的交互功能,这样造成Citrix直接与本机交互进行内网横向渗透。 一些企业也注意到内网不出网的情况下,交互引起的内网风险,于是直接在Citrix控制台禁用了复制粘贴,但是依然能绕过限制上传工具文件。
当我们连上Citrix虚拟化应用时,当前虚拟化应用服务器是支持与本机命令交互的,通过net use z: \\127.0.0.1\c$ "密码" /user:"帐号" 的方法将对方的c盘映射为自己的z盘,这样也能做到上传执行。 Citrix不会自动定期清理掉过期的AD域痕迹,导致服务器上长期没注销的域用户被抓取到账号密码,包括残留的域管账号密码。
某台机器存在exchange用户(一般域中exchange账号权限较高可登录大多数服务器),如果exchange业务下线,在域中存在残留未注销的exchange用户,此时只需要注入到exchange用户的进程当中,就可以直接完成权限提升,通过exchange账号加域组、修改普通域账号密码等等。
03
—
Citrix中的安全策略
1.企业中经常把工号(10086)、姓名全拼(zhangsan)、姓名带点(jing.zhang)等做为Citrix登录用户名,按照攻击者的思维,前期收集工号、邮箱名,或者直接生成用户名字典进行爆破,Citrix并没有验证码策略,成功率非常高,建议使用工号组合个人身份信息生成登录账号。
使用常见的企业用户名组合爆破成功率。
2.密码必须强制禁止使用P@ssw0rd、123456、1qaz@WSX、111111、1q2w3e4r5t,企业缩写@2021,等攻防演练通杀密码。
3.Citrix官方支持sms、otp等双因素策略,就算被突破了第一层账号密码,第二层双因素也能拦截掉绝大数攻击者,建议开启sms,牺牲成本,提升整个企业安全。
4.应该对每台服务器的普通域用户和高权限域用户做注销处理,这个可以通过脚本来实现。
5.组策略中配置
组策略中将调试程序设为空,即任何权限都不能够调试程序的情况下再去尝试用mimikatz 提升权限
privilege::debug
提升权限失败
如果喜欢请转发关注感谢支持!🙏
文章内容如有误,欢迎指正!🙏
