Setzen Angreifer erfolgreich an Sicherheitslücken in Citrix Virtual Apps oder Workspace an, könnten sie sich im schlimmsten Fall System-Rechte verschaffen. Damit ausgestattet liegt es nahe, dass sie die volle Kontrolle über Systeme erlangen. Von den Lücken sind Citrix Workspace App unter Linux (CVE-2023-24486) und Windows (CVE-2023-24484, CVE-2023-24485) betroffen. Eine Einstufung des Bedrohungsgrads steht derzeit noch aus. Da Angreifer durch das erfolgreiche Ausnutzen der Schwachstellen System-Rechte bekommen können, ist mindestens von einer hohen Einstufung auszugehen. Wie so ein Angriff ablaufen könnten, ist bislang unbekannt. Die Entwickler geben an, die Schwachstellen in den folgenden Versionen geschlossen zu haben:

  • Citrix Workspace App 2212
  • Citrix Workspace app for Linux 2302
  • Citrix Workspace App 2203 LTSR CU2
  • Citrix Workspace App 1912 LTSR CU7 Hotfix 2 (19.12.7002

Überdies sind noch abgesicherte Ausgaben von Virtual Apps and Desktops erschienen. Auch hier könnten sich Angreifer höhere Nutzerrechte aneignen.

  • Citrix Virtual Apps and Desktops 2212
  • Citrix Virtual Apps and Desktops 2203 LTSR CU2
  • Citrix Virtual Apps and Desktops 1912 LTSR CU6

Sicherheitswarnungen:

Quelle: Heise