CISA додала вразливість Citrix ShareFile до каталогу KEV через активне використання на практиці

Агентство кібербезпеки і безпеки інфраструктури США (CISA) додало критичну вразливість в контролері зон зберігання Citrix ShareFile до свого каталогу відомих уразливостей (KEV) на основі даних про активну експлуатацію на практиці.

Вразливість, що відстежується як CVE-2023-24489 (оцінка CVSS: 9.8), описується як помилка в контролі доступу, яка, в разі успішного використання, може дозволити неавторизованому зловмиснику віддалено скомпрометувати вразливі екземпляри.

Проблема полягає в тому, як ShareFile обробляє криптографічні операції, що дозволяє зловмисникам завантажувати довільні файли, що призводить до віддаленого виконання коду.

“Ця вразливість впливає на всі підтримувані зараз версії контролера зон зберігання ShareFile, керованого клієнтом, до версії 5.11.24”, – йдеться в повідомленні Citrix, випущеному в червні.

Варто зазначити, що перші ознаки використання вразливості з’явилися наприкінці липня 2023 року.

Особи зловмисників, які стоять за цими атаками, невідомі, хоча банда вимагачів Cl0p в останні роки виявляла особливий інтерес до використання вразливостей нульового дня в рішеннях для керованої передачі файлів, таких як Accellion FTA, SolarWinds Serv-U, GoAnywhere MFT і Progress MOVEit Transfer.

Компанія GreyNoise, що займається розвідкою загроз, повідомила, що спостерігала значний сплеск спроб використання цієї вразливості: лише 15 серпня 2023 року було зафіксовано 75 унікальних IP-адрес.

“Додаток використовує шифрування AES з режимом CBC та PKCS7, але не перевіряє належним чином розшифровані дані. Цей недолік дозволяє зловмисникам генерувати дійсні дані та здійснювати свою атаку, що призводить до неавторизованого довільного завантаження файлів і віддаленого виконання коду”.