CISA gibt Fehler bei Citrix ShareFile Transfer bekannt.

Die Cybersicherheitsbehörde der US-Regierung, CISA, hat kürzlich auf eine Schwachstelle hingewiesen, die in Citrix ShareFile, einer weit verbreiteten Software für die Dateiübertragung in Unternehmen, ausgenutzt wird. Dieser Fehler ermöglicht es böswilligen Akteuren, Angriffe aus verschiedenen Richtungen zu starten und sensible Daten durch einen leicht zu verhindernden Exploit zu stehlen.

CISA Citrix Sharefile-Sicherheitslücke

Dieser Fehler – bezeichnet als CVE-2023-24489 – wurde als „ernsthafte Bedrohung für föderale Systeme“ eingestuft. Als Reaktion darauf hat die CISA allen zivilen Exekutivbehörden des Bundes, einschließlich sich selbst, eine Frist bis zum 6. September 2023 gesetzt, um die vom Softwareanbieter bereitgestellten notwendigen Patches zu installieren.

Diese Warnung von Citrix bezüglich der Sicherheitslücke ist nicht neu; bereits im Juni hatte das Unternehmen auf diesen Fehler aufmerksam gemacht. Der Fehler, der auf einer Skala von 1 bis 10 eine ungewöhnlich hohe Schweregradbewertung von 9,8 erhalten hat, wird als Versäumnis bei der Zugriffskontrolle definiert. Dieses Versäumnis ermöglicht es potenziell unbefugten Angreifern, die Citrix ShareFile Storage Zones Controller aus der Ferne zu kompromittieren, ohne dass sie dafür Passwörter benötigen.

Citrix ShareFile ist in erster Linie als cloudbasiertes Tool für Dateiübertragungen bekannt, verfügt jedoch auch über einen „Storage Zones Controller“. Dieses Tool bietet Unternehmen die Möglichkeit, Dateien entweder intern oder auf kompatiblen Cloud-Plattformen wie Amazon S3 und Windows Azure zu speichern.

Dylan Pindur von Assetnote, der diese Schwachstelle entdeckt hat, wies darauf hin, dass sie auf kleine Fehler bei der Einführung der AES-Verschlüsselung durch ShareFile zurückzuführen ist. Pindurs Analyse ergab, dass bis Juli fast 6.000 Organisationen versehentlich öffentlich exponiert waren. Da die Software sehr beliebt ist und zur Speicherung sensibler Daten verwendet wird, führen jegliche Schwachstellen zu einem problematischen Risikofall.

Nach der Bekanntgabe der Sicherheitslücke durch die CISA stellte das Threat-Intelligence-Unternehmen GreyNoise einen deutlichen Anstieg verdächtiger Aktivitäten fest, die auf diese Sicherheitslücke abzielten. Bis jetzt ist noch nicht bekannt, wer diese Sicherheitslücke ausnutzt.

In letzter Zeit sind Dateiübertragungssysteme von Unternehmen ins Visier von Cyberkriminellen geraten, da sie oft große Mengen sensibler Daten enthalten. Die Ankündigung, die in guter Absicht erfolgte, um Unternehmen zu unterstützen, die die Citrix ShareFile-Dienste nutzen, hat möglicherweise böswillige Akteure auf eine zentrale Schwachstelle aufmerksam gemacht. Dies könnte der Grund für die jüngste Zunahme verdächtiger Aktivitäten sein.

Insbesondere die Clop-Ransomware-Gruppe, die vermutlich ihren Sitz in Russland hat, hat sich zu Angriffen auf mehrere Unternehmens-Tools bekannt. Dazu gehören Accellion's MTA, Fortra's GoAnywhere MFT und seit kurzem auch MOVEit Transfer von Progress.

Aktuelle Zahlen des Cybersicherheitsunternehmens Emsisoft zeichnen ein besorgniserregendes Bild. Die Angriffe auf MOVEit haben derzeit 668 Organisationen betroffen, wobei über 46 Millionen Menschen davon betroffen sind. Darüber hinaus führte Anfang dieser Woche eine Sicherheitsverletzung im Zusammenhang mit MOVEit nach einem Cyberangriff auf IBM zum Diebstahl von medizinischen und Gesundheitsdaten von mehr als vier Millionen Amerikanern.

Alle Organisationen, die Citrix ShareFile verwenden, sollten bis zum 6. September alle relevanten Hersteller-Patches aktualisiert und installiert haben. Diejenigen, die keine Patches installiert haben, riskieren den Verlust sensibler Daten durch böswillige Angriffe. Dies ist nicht die erste und auch nicht die letzte Schwachstelle, mit der Unternehmen in Cloud-Umgebungen konfrontiert werden, aber durch die regelmäßige Installation von Patches und die proaktive Überwachung auf Schwachstellen kann verhindert werden, dass unerwünschte Besucher geschützte Daten stehlen.