CISA 警告称，一个被追踪为 CVE-2023-24489 的关键 Citrix ShareFile 安全文件传输漏洞正成为未知攻击者的攻击目标，并已将该漏洞添加到其已知的已知安全漏洞目录中。

Citrix ShareFile（也称为 Citrix Content Collaboration）是一种托管文件传输 SaaS 云存储解决方案，允许客户和员工安全地上传和下载文件。

该服务还提供“存储区域控制器”解决方案，允许企业客户配置其私有数据存储来托管文件，无论是在本地还是在受支持的云平台（例如 Amazon S3 和 Windows Azure）上。

2023 年 6 月 13 日，Citrix 发布了关于新的 ShareFile 存储区域漏洞的安全公告，该漏洞的编号为 CVE-2023-24489，严重程度评分为 9.8/10，该漏洞可能允许未经身份验证的攻击者破坏客户管理的存储区域。

Citrix 解释说：“在客户管理的 ShareFile 存储区域控制器中发现了一个漏洞，如果被利用，未经身份验证的攻击者可能会远程破坏客户管理的 ShareFile 存储区域控制器。”

网络安全公司 AssetNote 向 Citrix 披露了该漏洞，并在一份 技术文章中警告称 ，该漏洞是由 ShareFile 实施 AES 加密时的一些小错误引起的。

AssetNote 研究人员解释说：“通过我们的研究，我们能够通过利用看似无害的加密错误来实现未经身份验证的任意文件上传和完全远程代码执行。”

利用此缺陷，威胁参与者可以将 Web shell 上传到设备，以获得对存储及其所有文件的完全访问权限。

CISA警告说，威胁行为者通常会利用这些类型的缺陷，并对联邦企业构成重大风险。

尽管 CISA 在许多建议中都发出了同样的警告，但影响托管文件传输 (MFT) 解决方案的缺陷尤其令人担忧，因为威胁行为者在勒索攻击中大量利用它们来窃取公司的数据。

一种名为 Clop 的勒索软件操作对针对此类缺陷特别感兴趣，自 2021 年以来，他们利用 Accellion FTA 解决方案中的零日缺陷进行大规模数据盗窃攻击。

从那时起，Clop 利用SolarWinds Serv-U、  GoAnywhere MFT中的零日缺陷进行了多次数据盗窃活动 ，最近还 对 MOVEit Transfer 服务器进行了大规模攻击。

积极利用

作为 AssetNote 技术文章的一部分，研究人员向威胁参与者分享了足够的信息，以开发针对 Citrix ShareFile CVE-2023-24489 缺陷的漏洞。不久之后，其他研究人员在 GitHub 上发布了他们自己的漏洞利用程序。

7 月 26 日，GreyNoise 开始监控利用该漏洞的尝试。在 CISA 今天警告该漏洞后，GreyNoise 更新了报告，称不同 IP 地址的尝试次数显着增加。

GreyNoise 警告称：“CISA 将 CVE-2023-24489 添加到其已知利用的漏洞目录当天， GreyNoise观察到攻击者活动显着激增 。 ”

目前，GreyNoise 已发现 72 个 IP 地址试图利用或检查 ShareFile 服务器是否容易受到攻击，其中大多数来自韩国以及芬兰、英国和美国的其他国家。

虽然没有公开已知的利用或数据盗窃与此缺陷相关，但 CISA 现在要求联邦民事行政部门 (FCEB) 机构在 2023 年 9 月 6 日之前针对此错误应用补丁。

然而，由于这些错误的高度针对性，强烈建议所有组织尽快应用更新