Şirketin Haziran 2023’te düzelttiği kritik bir Citrix ShareFile güvenlik açığı olan CVE-2023-24489, saldırganlar tarafından istismar ediliyor.
GreyNoise var bayraklı Salı günü, suistimal girişimlerinin geldiği IP adreslerinde ani bir artış oldu ve Siber Güvenlik ve Altyapı Dairesi (CISA) güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları Kataloğuna ekledi.
CVE-2023-24489 hakkında
Assetnote araştırmacısı Dylan Pindur tarafından ortaya çıkarılan ve bildirilen CVE-2023-24489, popüler bulut tabanlı dosya paylaşım uygulaması Citrix ShareFile’ı, özellikle de depolama bölgeleri denetleyicisini (IIS altında çalışan bir .NET web uygulaması) etkiler.
“ShareFile tarafından yönetilen bulut depolamayı tek başına veya ShareFile Data için depolama bölgeleri olarak adlandırılan, sürdürdüğünüz depolamayla birlikte kullanabilirsiniz. Bakımını yaptığınız depolama bölgeleri, şirket içi tek kiracılı depolama sisteminizde veya desteklenen üçüncü taraf bulut depolamasında bulunabilir,” diye açıklıyor Citrix.
Depolama bölgeleri denetleyicisi, kullanıcıların SharePoint sitelerine ve ağ dosya paylaşımlarına, ShareFile istemci kullanıcılarının belgelere göz atmasını, karşıya yüklemesini veya indirmesini sağlayan depolama bölgesi bağlayıcıları aracılığıyla güvenli bir şekilde erişmesine olanak tanır.
Özünde, CVE-2023-24489, kimliği doğrulanmamış saldırganların dosya yüklemesine ve (nihayetinde) müşteri tarafından yönetilen güvenlik açığı bulunan bir kurulumda kod yürütmesine ve bu kurulumu tehlikeye atmasına olanak tanıyan bir şifreleme hatasıdır.
CVE-2023-24489, ShareFile depolama bölgeleri denetleyicisi v5.11.24 ve sonrasında düzeltildi ve o zamandan beri müşterilerin yükseltme yapması isteniyor.
CVE-2023-24489 neden şimdi istismar ediliyor?
Kurumsal düzeyde dosya paylaşım uygulamalarındaki güvenlik açıkları genellikle saldırganlar tarafından, özellikle de daha önce Accellion File Transfer Appliance (FTA) cihazları, GoAnywhere MFT platformu ve MOVEit Transfer çözümü kullanan kuruluşları hedef alan Cl0p siber şantaj çetesi tarafından istismar edilir.
CVE-2023-24489’un ve düzeltmenin varlığı Haziran 2023’te kamuya açıklandı, ancak Assetnote ek teknik ayrıntılar ve bir kavram kanıtı (PoC) açığını 4 Temmuz’a kadar yayınlamadı. O zamandan beri GitHub’da başka PoC’ler yayınlandı, bu nedenle saldırganların bunları çalışan istismarlar oluşturmak ve bunlardan yararlanmak için kullanması an meselesiydi.
GreyNoise’ın bu güvenlik açığıyla ilgili istismar etkinliğine ilişkin çevrimiçi izleyicisine göre, ilk işaretler 25 Temmuz’da kaydedildi.
Açıktan yararlanan saldırılar hakkında hâlâ kamuya açık bir ayrıntı yok, ancak CISA, ABD Federal Sivil Yürütme Şubesi kurumlarının 6 Eylül 2023’e kadar yamalar uygulamasını zorunlu kıldı.
Özel sektördeki kuruluşlar da (henüz yapmadılarsa) aynısını yapmalıdır. Hangi depolama bölgeleri denetleyicisini kullandığınızdan emin değilseniz öğrenmek için bu yönergeleri izleyin.