A agência norte-americana Cybersecurity and Infrastructure Security Agency (CISA) adicionou na segunda-feira três vulnerabilidades de segurança que impactam o Citrix Session Recording e o Git ao seu catálogo Known Exploited Vulnerabilities (KEV), com base em evidências de exploração ativa.
A lista das vulnerabilidades é a seguinte:
-
CVE-2024-8068
(pontuação CVSS: 5.1) – Uma vulnerabilidade de improper privilege management no Citrix Session Recording que pode permitir escalonamento de privilégios para acesso à NetworkService Account quando o atacante é um usuário autenticado no mesmo domínio do Windows Active Directory do servidor de session recording.
-
CVE-2024-8069
(pontuação CVSS: 5.1) – Uma vulnerabilidade de deserialization of untrusted data no Citrix Session Recording que possibilita execução limitada de código remoto com privilégios de NetworkService Account, desde que o atacante seja um usuário autenticado na mesma intranet do servidor de session recording.
-
CVE-2025-48384
(pontuação CVSS: 8.1) – Uma vulnerabilidade de link following no Git, causada pelo tratamento inconsistente de caracteres de carriage return (CR) em arquivos de configuração, resultando em execução arbitrária de código.
Ambas as falhas no Citrix foram corrigidas pela empresa em novembro de 2024, após a divulgação responsável feita pelo watchTowr Labs em 14 de julho de 2024.
A
CVE-2025-48384
, por sua vez, foi solucionada pelo projeto Git no início de julho deste ano.
Um exploit proof-of-concept (PoC) foi divulgado pela Datadog logo após a divulgação pública.
“Se o caminho de um submódulo contém um CR final, o caminho alterado pode fazer com que o Git inicialize o submódulo em um local não intencional,” explicou a Arctic Wolf sobre a
CVE-2025-48384
.
Quando isso é combinado com um symlink apontando para o diretório de hooks do submódulo e um hook executável post-checkout, o clone de um repositório pode resultar em execução não intencional de código.
Como de costume, a CISA não forneceu detalhes técnicos adicionais sobre a atividade de exploração nem indicou possíveis responsáveis.
Agências do Federal Civilian Executive Branch (FCEB) são obrigadas a aplicar as mitigações necessárias até 15 de setembro de 2025 para proteger suas redes contra essas ameaças ativas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...