CISA تعلن عن خطأ في Citrix ShareFile Transfer.

سلطت وكالة الأمن السيبراني التابعة للحكومة الأمريكية (CISA) الضوء مؤخرًا على ثغرة أمنية يتم استغلالها في Citrix ShareFile، وهو برنامج لنقل الملفات على نطاق واسع الاستخدام في المؤسسات. تسمح هذه الثغرة للجهات الخبيثة بالهجوم من عدة اتجاهات وسرقة البيانات الحساسة من خلال استغلال يمكن منعه بسهولة.

ثغرة أمنية في CISA Citrix Sharefile

تم تصنيف هذا الخطأ — المسمى CVE-2023-24489 — على أنه يشكل "تهديدات خطيرة للأنظمة الفيدرالية". ورداً على ذلك، حددت وكالة CISA موعداً نهائياً في 6 سبتمبر 2023 لجميع الوكالات المدنية الفيدرالية التابعة للسلطة التنفيذية، بما في ذلك الوكالة نفسها، لتطبيق التصحيحات اللازمة التي قدمها مورد البرامج.

هذا التحذير من Citrix بشأن الثغرة الأمنية ليس جديدًا؛ فقد سبق أن لفتوا الانتباه إلى هذا الخلل في يونيو. تم تصنيف هذا الخطأ، الذي حصل على درجة خطورة غير مألوفة ولكنها حرجة تبلغ 9.8 على مقياس من 10، على أنه إغفال في التحكم في الوصول. هذا الإغفال يمنح المهاجمين غير المصرح لهم القدرة على اختراق وحدات التحكم في مناطق التخزين Citrix ShareFile عن بُعد، دون الحاجة إلى أي كلمات مرور.

على الرغم من أن Citrix ShareFile معروف في المقام الأول كأداة قائمة على السحابة لنقل الملفات، إلا أنه مزود أيضًا بـ "وحدة تحكم مناطق التخزين". توفر هذه الأداة للمؤسسات القدرة على تخزين الملفات إما داخليًا أو على منصات سحابية متوافقة مثل Amazon S3 و Windows Azure.

أشار ديلان بيندور من Assetnote، وهو الشخص الذي اكتشف هذه الثغرة الأمنية، إلى أن مصدرها يعود إلى أخطاء بسيطة في اعتماد ShareFile لتشفير AES. كشف تحليل بيندور أن ما يقرب من 6000 مؤسسة قد تعرضت للخطر عن طريق الخطأ بحلول شهر يوليو. ونظرًا لشعبية هذا البرنامج واستخدامه لتخزين البيانات الحساسة، فإن أي ثغرات أمنية تؤدي إلى مخاطر مشكلة.

بعد إعلان CISA عن وجود ثغرة أمنية، لاحظت شركة GreyNoise المتخصصة في استخبارات التهديدات ارتفاعًا ملحوظًا في الأنشطة المشبوهة التي تستهدف هذه الثغرة. وحتى الآن، لا تزال هويات الجناة الذين يستغلون هذه الثغرة مجهولة.

في الآونة الأخيرة، أصبحت أنظمة نقل الملفات المؤسسية في مرمى نيران مجرمي الإنترنت، نظراً للكميات الكبيرة من البيانات الحساسة التي غالباً ما تحتوي عليها. ورغم أن الإعلان صدر بحسن نية لمساعدة المؤسسات التي تستخدم خدمات Citrix ShareFile، إلا أنه ربما نبه الكيانات الخبيثة إلى نقطة ضعف أساسية. وقد يكون هذا هو السبب وراء الزيادة الأخيرة في الأنشطة المشبوهة.

على وجه الخصوص، أعلنت مجموعة Clop ransomware، التي يُعتقد أن مقرها في روسيا، مسؤوليتها عن مهاجمة العديد من أدوات الشركات. ومن بين هذه الأدوات MTA من Accellion و GoAnywhere MFT من Fortra، ومؤخراً MOVEit Transfer من Progress.

تُظهر الأرقام الأخيرة التي نشرتها شركة الأمن السيبراني Emsisoft صورة مقلقة. فقد أثرت الهجمات التي استهدفت MOVEit على 668 مؤسسة حتى الآن، وتضرر منها أكثر من 46 مليون شخص. علاوة على ذلك، أدى خرق أمني شمل MOVEit في وقت سابق من هذا الأسبوع إلى سرقة بيانات طبية وصحية لأكثر من أربعة ملايين أمريكي، عقب هجوم سيبراني على شركة IBM.

يجب على أي مؤسسة تستخدم Citrix ShareFile تحديث وتطبيق جميع تصحيحات الموردين ذات الصلة بحلول 6 سبتمبر. أما المؤسسات التي لم تقم بتطبيق التصحيحات، فهي معرضة لخطر فقدان البيانات الحساسة بسبب الهجمات الخبيثة. هذه ليست أول أو آخر ثغرة أمنية تواجهها الشركات في بيئات السحابة، ولكن البقاء على اطلاع على التصحيحات ومراقبة الثغرات الأمنية بشكل استباقي سيساعد في منع أي زوار غير مرغوب فيهم من سرقة البيانات المحمية.