ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Citrix ShareFile depolama bölgeleri denetleyicisindeki Bilinen İstismar Edilen Güvenlik Açıklarına (KEV) vahşi ortamda aktif sömürüye ilişkin kanıtlara dayanan katalog.
şu şekilde izlendi: CVE-2023-24489 (CVSS puanı: 9.8), eksiklik, başarılı bir şekilde istismar edilirse, kimliği doğrulanmamış bir saldırganın savunmasız örnekleri uzaktan tehlikeye atmasına izin verebilecek uygunsuz bir erişim kontrolü hatası olarak tanımlandı.
Sorun, ShareFile’ın kriptografik işlemleri ele almasında, rakiplerin rasgele dosyalar yüklemesine olanak tanıyarak uzaktan kod yürütülmesine neden olur.
“Bu güvenlik açığı, 5.11.24 sürümünden önceki müşteri tarafından yönetilen ShareFile depolama bölgeleri denetleyicisinin şu anda desteklenen tüm sürümlerini etkiliyor”, Citrix söz konusu Haziran ayında yayınlanan bir danışma belgesinde. Assetnote’tan Dylan Pindur, sorunu keşfetme ve bildirme konusunda itibar kazandı.
Güvenlik açığından yararlanıldığına dair ilk işaretlerin Temmuz 2023’ün sonlarına doğru ortaya çıktığını belirtmekte fayda var.
Saldırıların arkasındaki tehdit aktörlerinin kimliği bilinmiyor, ancak Cl0p fidye yazılımı çetesi, Accellion FTA, SolarWinds Serv-U, GoAnywhere MFT ve Progress MOVEit gibi yönetilen dosya aktarımı çözümlerinde sıfır günden yararlanmaya özel ilgi göstermiş olsa da Son yıllarda transfer.
Tehdit istihbaratı firması GreyNoise, açığı hedef alan istismar girişimlerinde önemli bir artış gözlemlediğini söyledi. 75 benzersiz IP adresi yalnızca 15 Ağustos 2023’te kaydedildi.
“CVE-2023-24489, Citrix ShareFile’ın IIS altında çalışan bir .NET web uygulaması olan Storage Zones Controller’daki bir kriptografik hatadır,” GreyNoise söz konusu.
“Uygulama, CBC modu ve PKCS7 dolgusu ile AES şifrelemesi kullanıyor ancak şifresi çözülmüş verileri doğru bir şekilde doğrulamaz. Bu gözetim, saldırganların geçerli dolgu oluşturmasına ve saldırılarını gerçekleştirmesine izin vererek kimliği doğrulanmamış rasgele dosya yüklemesine ve uzaktan kod yürütmeye yol açar.”
Federal Sivil Yürütme Şubesi (FCEB) kurumları, güvenlik açığını gidermek için satıcı tarafından sağlanan düzeltmeleri 6 Eylül 2023’e kadar uygulama yetkisine sahiptir.
Bu gelişme, Citrix’in NetScaler ürününü etkileyen kritik bir güvenlik açığı olan CVE-2023-3519’un güvenliği ihlal edilmiş cihazlarda PHP web kabuklarını dağıtmak ve kalıcı erişim elde etmek için aktif olarak kullanılmasına ilişkin güvenlik alarmlarının verilmesiyle birlikte gelir.