CISA Adds Citrix ShareFile Flaw to KEV Catalog Due to In-the-Wild Attacks
2023/08/17 TheHackerNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、現実の世界で活発に悪用されている証拠に基づき、ShareFile Storage Zones Controller に存在する深刻な脆弱性を、Known Exploited Vulnerabilities (KEV) カタログに追加した。この脆弱性 CVE-2023-24489 (CVSS:9.8) は、不適切なアクセス制御のバグとして説明されている。その悪用に成功した未認証の攻撃者は、脆弱なインスタンスをリモートから侵害することが可能になるという。
この問題は、ShareFile の暗号操作の処理に起因し、敵対者に対して、任意のファイルのアップロードや、リモート・コード実行を許してしまう。
Citrix は6月にリリースしたアドバイザリで、「この脆弱性は、バージョン 5.11.24 以前の、現時点でサポートされている全てバージョンの、顧客が管理する ShareFile Storage Zones Controller に影響する。この問題は、Assetnote の Dylan Pindur により発見/報告された」と述べている。
この脆弱性の悪用に関する、最初の兆候が 2023年7月末に現れたことは注目に値する。なぜなら、Cl0p ランサムウェア・ギャングが、Accellion FTA/SolarWinds Serv-U/GoAnywhere MFT/Progress MOVEit Transfer といった、マネージド・ファイル転送ソリューションのゼロデイ脆弱性の悪用に、強い関心を示しているからだ。ただし、現時点においては、攻撃の背後にいる脅威アクターの身元は不明である。
脅威インテリジェンス企業である GreyNoise が指摘しているのは、2023年8月15日だけで 75件ものユニークな IP アドレスが記録されるなど、この欠陥を悪用しようとする試みが、著しく急増しているという観測の結果である。
GreyNoise は、「脆弱性 CVE-2023-24489 は、IIS 環境で動作する .NET Web アプリである、Citrix ShareFileのStorage Zones Controller の暗号化バグである。このアプリは、CBC モードと PKCS7 パディングによる AES 暗号を使用しているが、復号化されたデータを正しく検証していない。この見落としにより、攻撃者は有効なパディングを生成して攻撃することが可能であり、認証されていない任意のファイルのアップロードや、リモート・コードの実行へとつながる」と指摘している。
連邦民間行政機関 (FCEB:Federal Civilian Executive Branch) に対しては、2023年9月6日までにベンダーが提供する修正プログラムを適用し、この脆弱性を修正することが義務付けられている。
なお、Citrix には、NetScaler 製品に影響を及ぼす、深刻な脆弱性 CVE-2023-3519 もあり、積極的に悪用されるという警告が発せられている。その悪用に成功した攻撃者は、侵害したアプライアンス上に PHP の Webシェルを展開し、永続的なアクセスを得ることが可能である。
ShareFile を Wikipedia を調べてみたら、セキュアなコンテンツ・コラボレーションを実現するための、ファイル共有/同期ソフトウェアだと説明されていました。今年に入ってから、この種のサービスへの侵害が、GoAnywhere や MOVEit で続いています。 お使いの組織に対しては、この脆弱性への対応が強く推奨されます。
IoT OT Security News 
You must be logged in to post a comment.