ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi (CISA), aktif vahşi istismar kanıtına dayanarak, Citrix ShareFile depolama bölgeleri denetleyicisindeki Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna kritik bir güvenlik açığı ekledi.
CVE-2023-24489 (CVSS puanı: 9.8) olarak izlenen eksiklik, başarılı bir şekilde yararlanılırsa kimliği doğrulanmamış bir saldırganın savunmasız örnekleri uzaktan tehlikeye atmasına izin verebilecek uygunsuz bir erişim kontrolü hatası olarak tanımlandı.
Sorun, ShareFile’ın kriptografik işlemleri ele almasında, rakiplerin rasgele dosyalar yüklemesine olanak tanıyarak uzaktan kod yürütülmesine neden olur.
Citrix, Haziran ayında yayınlanan bir danışma belgesinde “Bu güvenlik açığı, müşteri tarafından yönetilen ShareFile depolama bölgeleri denetleyicisinin 5.11.24 sürümünden önceki tüm şu anda desteklenen sürümlerini etkiliyor” dedi. Assetnote’tan Dylan Pindur, sorunu keşfetme ve bildirme konusunda itibar kazandı.
Güvenlik açığından yararlanıldığına dair ilk işaretlerin 2023 Temmuz ayının sonlarına doğru ortaya çıktığını belirtmekte fayda var.
Saldırıların arkasındaki tehdit aktörlerinin kimliği bilinmiyor, ancak Cl0p fidye yazılımı çetesi, Accellion FTA, SolarWinds Serv-U, GoAnywhere MFT ve Progress MOVEit gibi yönetilen dosya aktarımı çözümlerinde sıfır günden yararlanmaya özel ilgi göstermiş olsa da Son yıllarda transfer.
Tehdit istihbaratı firması GreyNoise, yalnızca 15 Ağustos 2023’te kaydedilen 75 kadar benzersiz IP adresiyle, kusuru hedefleyen istismar girişimlerinde önemli bir artış gözlemlediğini söyledi.
GreyNoise, “CVE-2023-24489, Citrix ShareFile’ın IIS altında çalışan bir .NET web uygulaması olan Storage Zones Controller’daki bir şifreleme hatasıdır” dedi.
“Uygulama, CBC modu ve PKCS7 dolgusu ile AES şifrelemesi kullanıyor ancak şifresi çözülmüş verileri doğru bir şekilde doğrulamaz. Bu gözetim, saldırganların geçerli dolgu oluşturmasına ve saldırılarını gerçekleştirmesine izin vererek kimliği doğrulanmamış rasgele dosya yüklemesine ve uzaktan kod yürütmeye yol açar.”
Federal Sivil Yürütme Şubesi (FCEB) kurumları, güvenlik açığını gidermek için satıcı tarafından sağlanan düzeltmeleri 6 Eylül 2023’e kadar uygulama yetkisine sahiptir.
Bu gelişme, Citrix’in NetScaler ürününü etkileyen kritik bir güvenlik açığı olan CVE-2023-3519’un güvenliği ihlal edilmiş cihazlarda PHP web kabuklarını dağıtmak ve kalıcı erişim elde etmek için aktif olarak kullanılmasına ilişkin güvenlik alarmlarının verilmesiyle birlikte gelir.