A empresa de inteligência de ameaças Greynoise diz que observou as primeiras tentativas de explorar uma recente vulnerabilidade crítica de execução remota de código (RCE) no Citrix ShareFile.
Uma popular solução de colaboração e compartilhamento de arquivos baseada em nuvem, o ShareFile permite que os usuários armazenem arquivos em seus próprios centros de dados, por meio de um controlador de zonas de armazenamento (ou centro de armazenamento), um aplicativo da Web .NET executado em Serviços de Informações da Internet (IIS).
A vulnerabilidade, rastreada como CVE-2023-24489 (pontuação CVSS de 9,1), foi o resultado de erros que levaram ao upload de arquivos não autenticados, que poderiam ser explorados para obter RCE, diz a empresa de gerenciamento de superfície de ataque Assetnote, que identificou e relatou o bug .
Segundo a empresa de segurança cibernética, existem entre 1.000 e 6.000 instâncias do ShareFile acessíveis pela Internetpotencialmente tornando-o um alvo popular para invasores, uma vez que pode armazenar dados confidenciais.
“Apesar de [vulnerable] endpoint não está habilitado em todas as configurações, tem sido comum entre os hosts que testamos. Dado o número de instâncias online e a confiabilidade da exploração, já vimos um grande impacto dessa vulnerabilidade”, diz o Assetnote.
A Citrix corrigiu a falha em junho de 2023 com o lançamento do controlador de zonas de armazenamento ShareFile versão 5.11.24, alertando que isso poderia levar ao comprometimento total do aplicativo.
“Foi descoberta uma vulnerabilidade no controlador de zonas de armazenamento ShareFile gerenciado pelo cliente que, se explorada, pode permitir que um invasor não autenticado comprometa remotamente o controlador de zonas de armazenamento ShareFile gerenciado pelo cliente”, disse a empresa em um consultor.
No início de julho, a Assetnote publicou o código de prova de conceito (PoC) visando a vulnerabilidade, e explorações PoC adicionais foram lançadas desde então, aumentando a probabilidade de exploração em estado selvagem.
Agora, Graynoise criou uma tag para CVE-2023-24489, para rastrear a exploração na natureza, e a primeira tentativas de exploração foram registrados no início desta semana.
“GreyNoise observou IPs tentando explorar essa vulnerabilidade. Dois nunca viram o GreyNoise antes dessa atividade”, diz a empresa de inteligência de ameaças.
Os clientes do Citrix ShareFile que usam controladores de zonas de armazenamento são aconselhados a atualizar suas instalações o mais rápido possível.
: