CISA adiciona falha do Citrix ShareFile ao Catálogo KEV devido a ataques
17 de Agosto de 2023

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou uma falha de segurança crítica no controlador de zonas de armazenamento Citrix ShareFile ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), com base em evidências de exploração ativa.

Rastreada como CVE-2023-24489 (pontuação CVSS: 9.8), a deficiência foi descrita como um problema de controle de acesso inadequado que, se explorado com sucesso, poderia permitir que um invasor não autenticado comprometesse instâncias vulneráveis de forma remota.

O problema está enraizado no manuseio de operações criptográficas do ShareFile, permitindo que adversários carreguem arquivos arbitrários, resultando na execução remota de códigos.

"Essa vulnerabilidade afeta todas as versões atualmente suportadas do controlador de zonas de armazenamento ShareFile gerenciado pelo cliente antes da versão 5.11.24", disse Citrix em um aviso lançado em junho.

Dylan Pindur, da Assetnote, foi creditado por descobrir e reportar o problema.

Vale notar que os primeiros sinais de exploração da vulnerabilidade surgiram no final de julho de 2023.

A identidade dos atores de ameaças por trás dos ataques é desconhecida, embora a gangue ransomware Cl0p tenha mostrado um interesse particular em se aproveitar de zero-days em soluções de transferência de arquivos gerenciadas, como Accellion FTA, SolarWinds Serv-U, GoAnywhere MFT e Progress MOVEit Transfer nos últimos anos.

A empresa de inteligência de ameaças GreyNoise disse que observou um aumento significativo nas tentativas de exploração visando a falha, com até 75 endereços IP únicos registrados em 15 de agosto de 2023.

" CVE-2023-24489 é um bug criptográfico no Controlador de Zonas de Armazenamento do Citrix ShareFile, uma aplicação .NET rodando sob o IIS", GreyNoise disse.

"A aplicação usa criptografia AES com modo CBC e padding PKCS7, mas não valida corretamente os dados decifrados.

Esse descuido permite que os invasores gerem um padding válido e executem seu ataque, levando ao upload de arquivo arbitrário não autenticado e execução de código remoto".

As agências do Poder Executivo Civil Federal (FCEB) foram instruídas a aplicar correções fornecidas pelo fornecedor para remediar a vulnerabilidade até 6 de setembro de 2023.

O desenvolvimento ocorre como os alertas de segurança foram levantados sobre a exploração ativa do CVE-2023-3519 , uma vulnerabilidade crítica que afeta o produto NetScaler da Citrix, para implantar web shells em PHP em dispositivos comprometidos e obter acesso persistente.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...