La CISA anuncia un error en Citrix ShareFile Transfer.

La agencia de ciberseguridad del Gobierno de EE. UU., CISA, ha destacado recientemente una vulnerabilidad que se está explotando en Citrix ShareFile, un software de transferencia de archivos empresarial muy utilizado. Este error permite a entidades maliciosas atacar desde múltiples vectores y robar datos confidenciales a través de un exploit fácilmente prevenible.

Vulnerabilidad de CISA Citrix Sharefile

Este error, denominado CVE-2023-24489, se ha considerado una «amenaza grave para los sistemas federales». En respuesta, la CISA ha fijado el 6 de septiembre de 2023 como fecha límite para que todas las agencias civiles federales del poder ejecutivo, incluida ella misma, apliquen los parches necesarios proporcionados por el proveedor de software.

Esta advertencia de Citrix sobre la vulnerabilidad no es nueva; ya habían llamado la atención sobre este fallo en junio. El error, que ha recibido una puntuación de gravedad de vulnerabilidad poco común pero crítica de 9,8 en una escala de 10, se define como un descuido en el control de acceso. Este descuido podría permitir a atacantes no autorizados comprometer de forma remota los controladores de las zonas de almacenamiento de Citrix ShareFile, sin necesidad de contraseñas.

Aunque Citrix ShareFile se conoce principalmente como una herramienta basada en la nube para la transferencia de archivos, también incluye un «controlador de zonas de almacenamiento». Esta herramienta ofrece a las organizaciones la posibilidad de almacenar archivos tanto internamente como en plataformas compatibles en la nube, como Amazon S3 y Windows Azure.

Dylan Pindur, de Assetnote, la persona a la que se atribuye el mérito de haber identificado esta vulnerabilidad, señaló que su origen se debía a pequeños errores en la adopción del cifrado AES por parte de ShareFile. El análisis de Pindur reveló que, en julio, casi 6000 organizaciones se habían expuesto accidentalmente al público. Dado que el software es muy popular y se utiliza para almacenar datos confidenciales, cualquier vulnerabilidad supone un riesgo problemático.

Tras el anuncio de la vulnerabilidad por parte de la CISA, la empresa de inteligencia sobre amenazas GreyNoise observó un notable aumento de las actividades sospechosas dirigidas a dicha vulnerabilidad. Por el momento, se desconoce la identidad de los responsables de explotar esta vulnerabilidad.

En los últimos tiempos, los sistemas corporativos de transferencia de archivos han sido blanco de los ciberdelincuentes, dada la gran cantidad de datos confidenciales que suelen contener. El anuncio, aunque se hizo con buena fe para ayudar a las organizaciones que utilizan los servicios de Citrix ShareFile, podría haber alertado a entidades maliciosas sobre una debilidad fundamental. Esta podría ser la causa del reciente aumento de actividades sospechosas.

En concreto, el grupo de ransomware Clop, que se cree que tiene su sede en Rusia, se ha atribuido la autoría de varios ataques a herramientas corporativas. Entre ellas se encuentran MTA de Accellion, GoAnywhere MFT de Fortra y, más recientemente, MOVEit Transfer de Progress.

Las cifras recientes compartidas por la empresa de ciberseguridad Emsisoft pintan un panorama preocupante. Los ataques dirigidos a MOVEit han afectado actualmente a 668 organizaciones, con más de 46 millones de personas afectadas. Además, a principios de esta semana, una brecha de seguridad relacionada con MOVEit provocó el robo de datos médicos y sanitarios de más de cuatro millones de estadounidenses, tras un ciberataque a IBM.

Todas las organizaciones que utilicen Citrix ShareFile deben haber actualizado y aplicado todos los parches pertinentes del proveedor antes del 6 de septiembre. Las que no lo hayan hecho corren el riesgo de perder datos confidenciales debido a ataques maliciosos. Esta no es la primera ni la última vulnerabilidad a la que se enfrentarán las empresas en entornos cloud, pero mantenerse al día con los parches y supervisar de forma proactiva las vulnerabilidades ayudará a evitar que visitantes no deseados roben datos protegidos.