[English]Sicherheitsforscher warnen, dass Angreifer die Citrix ShareFile RCE-Schwachstelle CVE-2023-24489 gerade in freier Wildbahn ausnutzen. Citrix ShareFile ist eine weit verbreitete Cloud-basierte Dateifreigabeanwendung, die von der kritischen Remotecodeausführung (RCE) CVE-2023-24489 (CVSS-Score 9.1) betroffen ist. Sofern jemand Citrix ShareFile verwendet, sollte die Schwachstelle dringend geschlossen werden.
Anzeige
Citrix ShareFile ist eine Cloud-basierte Lösung, um Dateien für die gemeinsame Nutzung freizugeben. Anfang Juli 2023 wurde die Schwachstelle CVE-2023-24489 in dem vom Kunden verwalteten ShareFile-Speicherzonen-Controller entdeckt. Die Schwachstelle ermöglicht einem erfolgreich Angreifer ohne Authentifizierung den ShareFile-Speicherzonen-Controller remote zu kompromittieren. Citrix hat dazu bereits im Juni 2023 den Sicherheitshinweis CTX559517 ShareFile StorageZones Controller Security Update for CVE-2023-24489 veröffentlicht. Diese Sicherheitslücke betrifft alle verwalteten ShareFile Storage Zones Controller vor Version 5.11.24. Vom Hersteller gibt es ein Update zum Schließen der Schwachstelle.
Security Affairs berichtet nun in diesem Beitrag, dass Experten warnen, dass diese Schwachstelle in freier Wildbahn angegriffen werde. Sicherheitsforscher von Greynoise warnen seit Ende Juli 2023 nun vor den ersten Versuchen zur Ausnutzung dieser Schwachstelle in Citrix ShareFile. Von Greynoise heißt es dazu:
Angreifer können diese Schwachstelle ausnutzen, indem sie Fehler in der Handhabung von kryptografischen Operationen in ShareFile ausnutzen. Die Anwendung verwendet AES-Verschlüsselung mit CBC-Modus und PKCS7-Padding, validiert aber die entschlüsselten Daten nicht korrekt. Dieser Bug ermöglicht es Angreifern, gültiges Padding zu generieren und ihren Angriff auszuführen, was zu einem unauthentifizierten Upload beliebiger Dateien und Remotecodeausführung führt.
Zum Zeitpunkt der Veröffentlichung dieses Beitrags hat GreyNoise IPs beobachtet, die versuchen, diese Sicherheitslücke auszunutzen. Zwei davon haben GreyNoise vor dieser Aktivität noch nie gesehen.
Wer die Lösung von Citrix einsetzt, sollte also dringend die Sicherheit in Bezug auf diese Schwachstelle prüfen – der MOVEit-Fall, bei dem geteilte Dateibereiche von der Clop-Ransomware zum Abziehen von Daten ausgenutzt wurde, ist ja erst einige Tage her und wirft immer noch wellen.
2015
Wenn man bedenkt, dass die Cloud Software Group im Vorfeld angekündigt hat, alle StorageZones zum 08.06.2023 zu sperren, die nicht auf die gepatchte Version aktualisiert wurden (und auch erst nach Durchführung des Updates wieder freizugeben), dann ist es eigentlich erstaunlich, dass es immer noch viele Server mit der alten Version gibt – das muss duch auffallen, wenn man nicht mehr auf die Daten zugreifen kann.