首页 -> 安全研究

安全研究

安全漏洞
Citrix MetaFrame客户指定发布应用程序漏洞

发布日期:2002-09-27
更新日期:2002-10-01

受影响系统:
Citrix MetaFrame XP SP2
Citrix MetaFrame XP SP1
Citrix MetaFrame XP
    - Microsoft Windows 2000 Professional SP2
    - Microsoft Windows 2000 Professional SP1
    - Microsoft Windows 2000 Professional
描述:
BUGTRAQ  ID: 5817

Citrix是一款远程桌面应用程序,类似Microsoft's Terminal Services
RDP (Remote Desktop Protocol),和终端服务不同的是,Citrix产品允许管理员指定部分应用程序在服务器上执行。

Citrix在验证运行程序处理过程中存在问题,远程攻击者可以利用这个漏洞在Citrix上执行任意命令。

Citrix XP family servers系列在处理是否允许访问发布的应用程序时,依靠客户端ICA配置文件来决定,这样,攻击者可以更改Citrix ICA客户端的.ICA配置文件参数来执行系统中任意程序。

一般的Citrix ICA客户端中的.ICA配置文件如下:

[WFClient]
Version=2
TcpBrowserAddress=ip.ip.ip.ip

[ApplicationServers]
word=

[word]
Address=word
InitialProgram=#word
ClientAudio=Off
Compress=On
TWIMode=On
DesiredHRES=800
DesiredVRES=600
DesiredColor=4
TransportDriver=TCP/IP
WinStationDriver=ICA 3.0

攻击者可以修改初始化程序word值为cmd.exe或者任意攻击者需要执行的程序。当访问Citrix服务程序的时候就会通过.ICA文件而执行运行攻击者指定的程序。

要成功利用这个漏洞,攻击者必须了解合法服务/发布的应用程序,并且必须能够通过验证进行访问。

成功利用这个漏洞后,攻击者就拥有足够的权限,Citrix存储所有Citrix程序邻居连接信息在已知的目录中:

-在NT4中为:%systemroot%\profiles\username\Application Data\
-在Win2k中为:C:\Documents and Settings\username\Application Data\

拷贝这些ICAClient目录到%systemroot%\profiles\youruser\Application Data\ 或者
C:\Documents and Settings\profiles\youruser\Application Data\,这样就打开了Citrix程序邻居,攻击者就可以查看所有用户连接信息。

如果使用Citrix Secure Gateway的NFuse功能和通过防火墙过滤通信的情况下,就不能通过修改.ICA文件来达到执行任意命令的目的。

<*来源:wirepair@roguemail.netwirepair@roguemail.net
  
  链接:http://sh0dan.org/files/hackingcitrix.txt
*>

建议:
临时解决方法:

如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:

* 关闭MetaFrame XP server广播应答(CMC | Right-click on farm | MetaFrame Settings tab | 在段不选中"Broadcast Response"段中两个框),这可以防止PERL应用扫描器扫描系统。

* 配置MetaFrame XP servers系统允许用户只能执行发布的程序(Citrix Connection Configuration |  "ica-tcp" | Advanced | 在"Initial Program"选中"Only run published applications")

厂商补丁:

Citrix
------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.citrix.com

浏览次数:6469
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障