21 oct 2014

Auditoría de sistemas Citrix. Parte 1

Buenas a todos, en el post hoy vamos a comenzar una mini-cadena de artículos en la que hablaremos de algunos trucos y consejos a la hora de auditar nuestros sistemas Citrix, muchos de ellos portables a Remote Desktop Services y a los que también dedicaremos algunas líneas.

ICA, siglas de Independent Computing Architecture, es el protocolo creado por Citrix para comunicar servidores y clientes. Es utilizado por miles de empresas para administrar y operar de manera remota servidores y aplicaciones

Mediante el cliente Citrix Receiver se pueden acceder a aplicaciones, escritorios y datos desde una gran mayoría de dispositivos, incluyendo smartphones y PCs.

La extensión de los archivos de Citrix es ".ica" al igual que el protocolo que le da nombre, y a través de este término podremos realizar de una manera sencilla búsquedas masivas en Internet, con el fin de localizar posibles archivos de conexión a sistemas Citrix:




Como veis, con un poco de Google Hacking, filtrando por la extensión "ica" y con algunos términos incluidos habitualmente en los archivos ica, es posible afinar la búsqueda, para localizar por ejemplo los archivos ica que exponen el usuario y la contraseña de acceso:



En la siguiente captura os mostramos un ejemplo de archivo ica con contraseña incluida, para que podáis ver los parámetros contenidos.


Si os fijáis en el parámetro "InitialProgram", podéis ver el programa que iniciará citrix al abrir la conexión. Es posible que el sistema permita el arranque de otras aplicaciones como un notepad o una calculadora, por lo que jugando con este parámetro podemos intentar bypassear los sistemas de seguridad, como veremos más adelante en la cadena.

Google Hacking funciona muy bien para localizar este tipo de archivos, pero necesitamos refinar la búsqueda porque hay una gran cantidad de ficheros ica cacheados que se encuentran obsoletos y ya no funcionan. Para ello es interesante el filtro de Google para mostrar los resultados ordenados por fecha:


Shodan es otro buscador imprescindible durante los procesos de auditoría Citrix, y de él os hablaremos en posteriores entregas de la cadena.

Saludos!

No hay comentarios:

Publicar un comentario