La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó una falla de seguridad crítica en el controlador de zonas de almacenamiento Citrix ShareFile a sus Vulnerabilidades Explotadas Conocidas (KEV) catálogo, basado en evidencia de explotación activa en estado silvestre.
rastreado como CVE-2023-24489 (puntaje CVSS: 9.8), la deficiencia se ha descrito como un error de control de acceso inadecuado que, si se explota con éxito, podría permitir que un atacante no autenticado comprometa instancias vulnerables de forma remota.
El problema tiene sus raíces en el manejo de las operaciones criptográficas de ShareFile, lo que permite a los adversarios cargar archivos arbitrarios, lo que resulta en la ejecución remota de código.
“Esta vulnerabilidad afecta a todas las versiones admitidas actualmente del controlador de zonas de almacenamiento ShareFile administrado por el cliente antes de la versión 5.11.24”, Citrix dicho en un aviso publicado en junio. A Dylan Pindur de Assetnote se le atribuye el descubrimiento y la denuncia del problema.
Vale la pena señalar que los primeros signos de explotación de la vulnerabilidad surgieron a fines de julio de 2023.
Se desconoce la identidad de los actores de amenazas detrás de los ataques, aunque la pandilla de ransomware Cl0p ha mostrado un interés particular en aprovechar los días cero en soluciones de transferencia de archivos administrados como Accellion FTA, SolarWinds Serv-U, GoAnywhere MFT y Progress MOVEit. Traspaso en los últimos años.
La firma de inteligencia de amenazas GreyNoise dijo que observó un aumento significativo en los intentos de explotación dirigidos a la falla, con tantos como 75 direcciones IP únicas grabado el 15 de agosto de 2023, solo.
“CVE-2023-24489 es un error criptográfico en Storage Zones Controller de Citrix ShareFile, una aplicación web .NET que se ejecuta bajo IIS”, GreyNoise dicho.
“La aplicación utiliza cifrado AES con modo CBC y relleno PKCS7, pero no valida correctamente los datos descifrados. Este descuido permite a los atacantes generar un relleno válido y ejecutar su ataque, lo que lleva a la carga de archivos arbitrarios no autenticados y a la ejecución remota de código”.
Las agencias del Poder Ejecutivo Civil Federal (FCEB, por sus siglas en inglés) han recibido el mandato de aplicar soluciones proporcionadas por proveedores para remediar la vulnerabilidad antes del 6 de septiembre de 2023.
El desarrollo se produce cuando se han activado las alarmas de seguridad sobre la explotación activa de CVE-2023-3519, una vulnerabilidad crítica que afecta al producto NetScaler de Citrix, para implementar PHP web shells en dispositivos comprometidos y obtener acceso persistente.