Η CISA προειδοποιεί ότι μια κρίσιμη ευπάθεια ασφαλούς μεταφοράς αρχείων του Citrix ShareFile, που εντοπίζεται ως CVE-2023-24489, αποτελεί στόχο άγνωστων φορέων και πρόσθεσε το ελάττωμα στον κατάλογο των γνωστών κενών ασφαλείας που αξιοποιούνται στο περιβάλλον.
Δείτε επίσης: CISA: Νέο backdoor της Whirlpool χρησιμοποιείται σε hacks του Barracuda ESG
Το Citrix ShareFile (επίσης γνωστό ως Citrix Content Collaboration) είναι μια διαχειριζόμενη λύση αποθήκευσης αρχείων SaaS cloud που επιτρέπει στους πελάτες και τους υπαλλήλους να ανεβάζουν και να κατεβάζουν αρχεία με ασφάλεια.
Η υπηρεσία προσφέρει επίσης μια λύση “Storage zones controller” που επιτρέπει στους εταιρικούς πελάτες να διαμορφώνουν την ιδιωτική τους αποθήκευση δεδομένων για να φιλοξενούν αρχεία, είτε επιτόπου είτε σε υποστηριζόμενες πλατφόρμες cloud, όπως το Amazon S3 και το Windows Azure.
Στις 13 Ιουνίου 2023, η Citrix δημοσίευσε μια συμβουλευτική ασφαλείας σχετικά με μια νέα ευπάθεια στις ζώνες αποθήκευσης του ShareFile, η οποία παρακολουθείται ως CVE-2023-24489 με βαθμό σοβαρότητας 9,8/10, η οποία θα μπορούσε να επιτρέψει σε μη εξουσιοδοτημένους επιτιθέμενους να θέσουν σε κίνδυνο τις ζώνες αποθήκευσης που διαχειρίζεται ο πελάτης.
“Έχει ανακαλυφθεί μια ευπάθεια στον ελεγκτή των διαχειριζόμενων από τον πελάτη ζωνών αποθήκευσης ShareFile, η οποία, εάν αξιοποιηθεί, θα μπορούσε να επιτρέψει σε έναν μη πιστοποιημένο επιτιθέμενο να θέσει σε κίνδυνο εξ αποστάσεως τον ελεγκτή των διαχειριζόμενων από τον πελάτη ζωνών αποθήκευσης ShareFile”, εξηγεί η Citrix.
Η εταιρεία κυβερνοασφάλειας AssetNote αποκάλυψε την ευπάθεια στη Citrix, προειδοποιώντας σε ένα τεχνικό κείμενο ότι το ελάττωμα προκαλείται από μερικά μικρά σφάλματα στην υλοποίηση της κρυπτογράφησης AES του ShareFile.
“Μέσω της έρευνάς μας καταφέραμε να επιτύχουμε μη εξουσιοδοτημένη αυθαίρετη μεταφόρτωση αρχείων και πλήρη απομακρυσμένη εκτέλεση κώδικα εκμεταλλευόμενοι ένα φαινομενικά αθώο κρυπτογραφικό σφάλμα”, εξηγούν οι ερευνητές της AssetNote.
Χρησιμοποιώντας αυτό το ελάττωμα, ένας δράστης θα μπορούσε να ανεβάσει ένα web shell σε μια συσκευή για να αποκτήσει πλήρη πρόσβαση στον αποθηκευτικό χώρο και σε όλα τα αρχεία του.
Η CISA προειδοποιεί ότι οι δράστες εκμεταλλεύονται συνήθως τέτοιου είδους ελαττώματα και αποτελούν σημαντικό κίνδυνο για τις ομοσπονδιακές επιχειρήσεις.
Πρόταση: Πάνω από 640 servers της Citrix έχουν παραβιαστεί με web shells σε συνεχείς επιθέσεις
Ενώ η CISA μοιράζεται την ίδια προειδοποίηση σε πολλές συμβουλές, τα ελαττώματα που επηρεάζουν τις λύσεις διαχειριζόμενης μεταφοράς αρχείων (MFT) προκαλούν ιδιαίτερη ανησυχία, καθώς οι hackers τα έχουν εκμεταλλευτεί σε μεγάλο βαθμό για να κλέψουν δεδομένα από εταιρείες σε επιθέσεις εκβιασμού.
Μια επιχείρηση ransomware, γνωστή ως Clop, έχει δείξει ιδιαίτερο ενδιαφέρον για τη στόχευση τέτοιου είδους ελαττωμάτων, χρησιμοποιώντας τα σε ευρείας κλίμακας επιθέσεις κλοπής δεδομένων από το 2021, όταν εκμεταλλεύτηκε ένα ελάττωμα zero-day στη λύση Accellion FTA.
Έκτοτε, η Clop έχει πραγματοποιήσει πολυάριθμες εκστρατείες κλοπής δεδομένων χρησιμοποιώντας ελαττώματα zero-day στα SolarWinds Serv-U, GoAnywhere MFT και, πιο πρόσφατα, τις μαζικές επιθέσεις στους servers MOVEit Transfer.
Ενεργή εκμετάλλευση
Στο πλαίσιο της τεχνικής συγγραφής του AssetNote, οι ερευνητές μοιράστηκαν αρκετές πληροφορίες ώστε οι δράστες να αναπτύξουν exploits για το ελάττωμα Citrix ShareFile CVE-2023-24489. Λίγο αργότερα, άλλοι ερευνητές δημοσίευσαν τα δικά τους exploits στο GitHub.
Στις 26 Ιουλίου, η GreyNoise άρχισε να παρακολουθεί τις προσπάθειες εκμετάλλευσης της ευπάθειας. Αφού η CISA προειδοποίησε για το ελάττωμα σήμερα, η GreyNoise ενημέρωσε την έκθεσή της για να αναφέρει ότι υπήρξε σημαντική αύξηση των προσπαθειών από διαφορετικές διευθύνσεις IP.
“Η GreyNoise παρατήρησε μια σημαντική αύξηση της δραστηριότητας των εισβολέων την ημέρα που η CISA πρόσθεσε το CVE-2023-24489 στον κατάλογο γνωστών εκτελούμενων ευπαθειών”, προειδοποιεί η GreyNoise.
Αυτή τη στιγμή, η GreyNoise έχει δει απόπειρες εκμετάλλευσης ή ελέγχου του αν ένας server ShareFile είναι ευάλωτος από 72 διευθύνσεις IP, με τις περισσότερες από τη Νότια Κορέα και άλλες από τη Φινλανδία, το Ηνωμένο Βασίλειο και τις Ηνωμένες Πολιτείες.
Παρόλο που δεν έχει συνδεθεί καμία δημόσια γνωστή εκμετάλλευση ή κλοπή δεδομένων με αυτό το ελάττωμα, η CISA απαιτεί τώρα από τους ομοσπονδιακούς φορείς του πολιτικού εκτελεστικού κλάδου (FCEB) να εφαρμόσουν επιδιορθώσεις για αυτό το σφάλμα έως τις 6 Σεπτεμβρίου 2023.
Ωστόσο, λόγω της εξαιρετικά στοχευμένης φύσης αυτών των σφαλμάτων, θα ήταν ιδιαίτερα σκόπιμο όλοι οι οργανισμοί να εφαρμόσουν τις ενημερώσεις το συντομότερο δυνατό.
Διαβάστε επίσης: Citrix: Πάνω από 15K διακομιστές ευάλωτοι σε επιθέσεις RCE
πηγή πληροφοριών:bleepingcomputer.com
