La CISA avertit qu’une vulnérabilité critique de transfert de fichiers sécurisé Citrix ShareFile identifiée comme CVE-2023-24489 est ciblée par des acteurs inconnus et a ajouté la faille à son catalogue de failles de sécurité connues exploitées dans la nature.
Citrix ShareFile (également connu sous le nom de Citrix Content Collaboration) est une solution de stockage cloud SaaS de transfert de fichiers géré qui permet aux clients et aux employés de charger et de télécharger des fichiers en toute sécurité.
Le service propose également une solution de « contrôleur de zones de stockage » qui permet aux entreprises clientes de configurer leur stockage de données privées pour héberger des fichiers, que ce soit sur site ou sur des plates-formes cloud prises en charge, telles qu’Amazon S3 et Windows Azure.
Le 13 juin 2023, Citrix a publié un avis de sécurité sur une nouvelle vulnérabilité des zones de stockage ShareFile identifiée comme CVE-2023-24489 avec un score de gravité critique de 9,8/10, ce qui pourrait permettre à des attaquants non authentifiés de compromettre les zones de stockage gérées par le client.
« Une vulnérabilité a été découverte dans le contrôleur de zones de stockage ShareFile géré par le client qui, si elle est exploitée, pourrait permettre à un attaquant non authentifié de compromettre à distance le contrôleur de zones de stockage ShareFile géré par le client », explique Citrix.
La société de cybersécurité AssetNote a révélé la vulnérabilité à Citrix, avertissant dans un article technique que la faille est causée par quelques petites erreurs dans la mise en œuvre du cryptage AES par ShareFile.
« Grâce à nos recherches, nous avons pu réaliser un téléchargement de fichiers arbitraires non authentifiés et une exécution complète du code à distance en exploitant un bogue cryptographique apparemment inoffensif », expliquent les chercheurs d’AssetNote.
En utilisant cette faille, un acteur malveillant pourrait télécharger un shell Web sur un appareil pour obtenir un accès complet au stockage et à tous ses fichiers.
La CISA avertit que les acteurs de la menace exploitent couramment ces types de failles et présentent un risque important pour les entreprises fédérales.
Bien que CISA partage ce même avertissement dans de nombreux avis, les failles affectant les solutions de transfert de fichiers géré (MFT) sont particulièrement préoccupantes, car les acteurs de la menace les ont largement exploitées pour voler des données aux entreprises lors d’attaques d’extorsion.
Une opération de ransomware, connue sous le nom de Clop, s’est particulièrement intéressée à cibler ces types de failles, en les utilisant dans des attaques de vol de données à grande échelle depuis 2021, lorsqu’elle a exploité une faille zero-day dans la solution Accellion FTA.
Depuis lors, Clop a mené de nombreuses campagnes de vol de données en utilisant des failles zero-day dans SolarWinds Serv-U, GoAnywhere MFT et, plus récemment, les attaques massives sur les serveurs MOVEit Transfer.
Exploitation active
Dans le cadre de la rédaction technique d’AssetNote, les chercheurs ont partagé suffisamment d’informations pour que les acteurs de la menace développent des exploits pour la faille Citrix ShareFile CVE-2023-24489. Peu de temps après, d’autres chercheurs ont publié leurs propres exploits sur GitHub.
Le 26 juillet, GreyNoise a commencé à surveiller les tentatives d’exploitation de la vulnérabilité. Après que la CISA a mis en garde contre la faille aujourd’hui, GreyNoise a mis à jour son rapport pour indiquer qu’il y avait eu une augmentation significative des tentatives par différentes adresses IP.
« GreyNoise a observé un pic significatif d’activité des attaquants le jour où la CISA a ajouté CVE-2023-24489 à son catalogue de vulnérabilités exploitées connues », prévient GreyNoise.
À l’heure actuelle, GreyNoise a été témoin de tentatives d’exploitation ou de vérification de la vulnérabilité d’un serveur ShareFile à partir de 72 adresses IP, la majorité provenant de Corée du Sud et d’autres en Finlande, au Royaume-Uni et aux États-Unis.
Bien qu’aucune exploitation ou vol de données publiquement connu n’ait été lié à cette faille, la CISA exige désormais que les agences de la Federal Civilian Executive Branch (FCEB) appliquent des correctifs pour ce bogue d’ici le 6 septembre 2023.
Cependant, en raison de la nature hautement ciblée de ces bogues, il serait fortement conseillé à toutes les organisations d’appliquer les mises à jour dès que possible.