Sommario
La CISA (Cybersecurity and Infrastructure Security Agency) ha emesso un avvertimento riguardo una vulnerabilità critica in Citrix ShareFile, una soluzione di archiviazione cloud per la trasmissione sicura di file. Questa vulnerabilità è attualmente sfruttata da attori sconosciuti.
Dettagli sulla vulnerabilità
Citrix ShareFile, noto anche come Citrix Content Collaboration, è una soluzione SaaS per la gestione sicura del trasferimento di file. Questo servizio offre una soluzione “Storage zones controller” che permette ai clienti aziendali di configurare la loro memorizzazione privata di dati, sia on-premise che su piattaforme cloud supportate come Amazon S3 e Windows Azure. Il 13 giugno 2023, Citrix ha rilasciato un avviso di sicurezza su una nuova vulnerabilità delle zone di archiviazione ShareFile, identificata come CVE-2023-24489, con un punteggio di gravità critica di 9.8/10. Questa vulnerabilità potrebbe permettere ad attaccanti non autenticati di compromettere le zone di archiviazione gestite dai clienti.
Origine della vulnerabilità
La società di cybersecurity AssetNote ha segnalato la vulnerabilità a Citrix, sottolineando in un’analisi tecnica che l’errore è causato da piccoli errori nell’implementazione della crittografia AES di ShareFile. Gli ricercatori di AssetNote spiegano: “Attraverso la nostra ricerca, siamo stati in grado di ottenere il caricamento di file arbitrario non autenticato e l’esecuzione completa del codice remoto sfruttando un bug crittografico apparentemente innocuo”. Utilizzando questa vulnerabilità, un attore minaccioso potrebbe caricare una shell web su un dispositivo per ottenere pieno accesso all’archiviazione e a tutti i suoi file.
Risposta della CISA
La CISA avverte che gli attori delle minacce sfruttano comunemente queste tipologie di vulnerabilità, rappresentando un rischio significativo per le imprese federali. In particolare, le vulnerabilità che impattano le soluzioni di trasferimento di file gestite (MFT) sono particolarmente preoccupanti, poiché sono state sfruttate intensamente da attori minacciosi per rubare dati dalle aziende in attacchi di estorsione.
Sfruttamento attivo
Come parte dell’analisi tecnica di AssetNote, i ricercatori hanno condiviso informazioni sufficienti perché gli attori delle minacce potessero sviluppare exploit per la vulnerabilità Citrix ShareFile CVE-2023-24489. Poco dopo, altri ricercatori hanno rilasciato i loro exploit su GitHub. GreyNoise ha iniziato a monitorare i tentativi di sfruttare la vulnerabilità il 26 luglio. Dopo l’avvertimento della CISA, GreyNoise ha aggiornato il suo rapporto, segnalando un aumento significativo nei tentativi da diversi indirizzi IP.
Misure preventive
Sebbene non ci siano stati casi noti di sfruttamento o furto di dati collegati a questa vulnerabilità, la CISA ora richiede alle agenzie del Federal Civilian Executive Branch (FCEB) di applicare le patch per questo bug entro il 6 settembre 2023. Tuttavia, data la natura altamente mirata di questi bug, si consiglia vivamente a tutte le organizzazioni di applicare gli aggiornamenti il prima possibile.
