Гром в облаках: Greynoise предупредила об атаках на хранилища Citrix ShareFile

Известное облачное приложение для обмена файлами, Citrix ShareFile, столкнулось с критической уязвимостью, позволяющей выполнить вредоносный код удаленно. Этот дефект отслеживается как CVE-2023-24489 и имеет оценку CVSS 9.1.

Уязвимый элемент — контроллер зон хранения, управляемый клиентом. Неавторизованный злоумышленник может активировать уязвимость, скомпрометировав контроллер, а затем загрузить произвольный файл.

Citrix постарался устранить проблему в июне 2023 года, выпустив обновление. Отмечено, что оно «затрагивает все в настоящее время поддерживаемые версии ShareFile до 5.11.24».

Однако специалисты из компании по угрозам безопасности Greynoise предупредили о первых попытках компрометации систем Citrix. «Злоумышленники могут эксплуатировать дефект, воспользовавшись ошибками в обработке криптографических операций ShareFile. Приложение использует шифрование AES с режимом CBC и PKCS7 padding, но не проверяет расшифрованные данные», — заявляет Greynoise.

Компания заметила, что «это упущение позволяет хакерам создавать действительное заполнение для осуществления атак».

Assetnote, еще одна компания, специализирующаяся на кибербезопасности, опубликовала технические детали и доказательства концепции уязвимости. «Онлайн поиск показывает, что примерно 1000–6000 экземпляров доступны в интернете. Эта популярность, в сочетании с использованием ПО для хранения конфиденциальных данных, означает, что любое обнаружение недочета будет иметь соответствующий эффект», — говорится в анализе.

Эксперты предупреждают: количество атак будет быстро расти в ближайшие дни, так как в интернете уже опубликованы другие доказательства концепции.

В Assetnote подчеркнули: «Несмотря на то, что определенная конечная точка не активирована во всех конфигурациях, она была общей среди тех хостов, которые мы протестировали. Учитывая количество экземпляров в общем доступе и надежность эксплуатации, мы уже можем наблюдать последствия».