La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté une faille de sécurité critique dans le contrôleur de zones de stockage Citrix ShareFile à ses vulnérabilités exploitées connues (KEV), basé sur des preuves d’exploitation active dans la nature.
Suivi comme CVE-2023-24489 (score CVSS : 9,8), la lacune a été décrite comme un bogue de contrôle d’accès inapproprié qui, s’il est exploité avec succès, pourrait permettre à un attaquant non authentifié de compromettre à distance des instances vulnérables.
Le problème est enraciné dans la gestion par ShareFile des opérations cryptographiques, permettant aux adversaires de télécharger des fichiers arbitraires, entraînant l’exécution de code à distance.
« Cette vulnérabilité affecte toutes les versions actuellement prises en charge du contrôleur de zones de stockage ShareFile géré par le client avant la version 5.11.24, » Citrix dit dans un avis publié en juin. Dylan Pindur d’Assetnote a été crédité d’avoir découvert et signalé le problème.
Il convient de noter que les premiers signes d’exploitation de la vulnérabilité sont apparus vers la fin juillet 2023.
L’identité des acteurs de la menace à l’origine des attaques est inconnue, bien que le gang de rançongiciels Cl0p se soit particulièrement intéressé à tirer parti des zero-days dans les solutions de transfert de fichiers gérées telles que Accellion FTA, SolarWinds Serv-U, GoAnywhere MFT et Progress MOVEit. Transfert ces dernières années.
La société de renseignement sur les menaces GreyNoise a déclaré avoir observé un pic important de tentatives d’exploitation ciblant la faille, avec jusqu’à 75 adresses IP uniques enregistré le 15 août 2023, seul.
« CVE-2023-24489 est un bogue cryptographique dans le contrôleur de zones de stockage de Citrix ShareFile, une application Web .NET fonctionnant sous IIS », GreyNoise dit.
« L’application utilise le cryptage AES avec le mode CBC et le rembourrage PKCS7, mais ne valide pas correctement les données déchiffrées. Cet oubli permet aux attaquants de générer un rembourrage valide et d’exécuter leur attaque, conduisant à un téléchargement de fichiers arbitraires non authentifiés et à l’exécution de code à distance. »
Les agences du Federal Civilian Executive Branch (FCEB) ont été mandatées pour appliquer les correctifs fournis par le fournisseur pour remédier à la vulnérabilité d’ici le 6 septembre 2023.
Le développement intervient alors que des alarmes de sécurité ont été déclenchées concernant l’exploitation active de CVE-2023-3519, une vulnérabilité critique affectant le produit NetScaler de Citrix, pour déployer des shells Web PHP sur des appliances compromises et obtenir un accès persistant.