Aviso de seguridad
Nivel de peligrosidad: Crítico
Descripción
Citrix ShareFile es una plataforma segura de almacenamiento e intercambio de archivos diseñada para que empresas y profesionales colaboren en documentos, intercambien archivos y administren contenido de manera segura y eficiente.
Registrada como CVE-2023-24489 (CVSS: 9.8), esta vulnerabilidad se ha descrito como un error de control de acceso inadecuado, que si se explota con éxito, podría permitir a un actor malintencionado no autenticado comprometer instancias vulnerables de forma remota.
Los investigadores de la firma de inteligencia de amenazas Greynoise advirtieron a finales de julio sobre los primeros intentos de explotar la vulnerabilidad en Citrix ShareFile.
Los atacantes pueden explotar esta vulnerabilidad aprovechando los errores en el manejo de las operaciones criptográficas por parte de ShareFile. La aplicación utiliza cifrado AES con modo CBC y relleno PKCS7 pero no valida correctamente los datos descifrados. Esta supervisión permite a los atacantes generar un relleno válido y ejecutar su ataque, lo que lleva a la carga de archivos arbitrarios no autenticados y a la ejecución remota de código.
Se desconoce la identidad de los actores de amenazas detrás de los ataques, aunque la banda de ransomware Cl0p se ha interesado especialmente en aprovechar los días cero en soluciones de transferencia de archivos administradas como Accellion FTA, SolarWinds Serv-U, GoAnywhere MFT y Progress MOVEit. Transferencia en los últimos años.
Recursos afectados
- Citrix ShareFile anteriores a la versión 5.11.24.
Solución
Actualizar a la versión 5.11.24 o superior para mitigar esta vulnerabilidad.
Indicadores de compormiso
La empresa Greynoise ha detectado las siguientes direcciones IP que están intentando explotar esta falla:
- 121.78.21.186
- 121.78.21.206
- 121.78.21.178
- 121.18.21.199
- 121.78.21.209
- 121.78.21.203
- 121.78.21.88
- 121.78.21.185
- 121.78.21.195
- 121.78.21.207
Recomendaciones
Existen actores de amenazas que están intentando aprovecharse de esta vulnerabilidad para poder subir archivos maliciosos para así ejecutar código remoto para tomar control del mismo. Se recomienda encarecidamente actualizar Citirx ShareFile a la última versión disponible.
Referencias