CISA annuncia un bug nel trasferimento di Citrix ShareFile.

L'agenzia per la sicurezza informatica del governo degli Stati Uniti, CISA, ha recentemente evidenziato una vulnerabilità sfruttata in Citrix ShareFile, un software di trasferimento file aziendale ampiamente utilizzato. Questo bug consente a entità malintenzionate di attaccare da più vettori e rubare dati sensibili attraverso un exploit facilmente prevenibile.

Vulnerabilità CISA Citrix Sharefile

Questo bug, denominato CVE-2023-24489, è stato ritenuto una "grave minaccia per i sistemi federali". In risposta, la CISA ha fissato al 6 settembre 2023 il termine ultimo entro il quale tutte le agenzie civili dell'esecutivo federale, compresa la stessa CISA, dovranno applicare le patch necessarie fornite dal produttore del software.

Questo avviso di Citrix sulla vulnerabilità non è una novità; già a giugno avevano segnalato il problema. Il bug, che ha ricevuto un punteggio di gravità della vulnerabilità insolito ma critico di 9,8 su una scala di 10, è definito come una svista nel controllo degli accessi. Questa svista potenzialmente consente agli aggressori non autorizzati di compromettere da remoto i controller delle zone di archiviazione Citrix ShareFile, senza bisogno di password.

Sebbene Citrix ShareFile sia principalmente riconosciuto come uno strumento basato su cloud per il trasferimento di file, è anche dotato di un "controller delle zone di archiviazione". Questo strumento offre alle organizzazioni la possibilità di archiviare i file internamente o su piattaforme cloud compatibili come Amazon S3 e Windows Azure.

Dylan Pindur di Assetnote, la persona che ha individuato questa vulnerabilità, ha sottolineato che essa deriva da lievi errori nell'adozione della crittografia AES da parte di ShareFile. L'analisi di Pindur ha rivelato che quasi 6.000 organizzazioni si erano accidentalmente esposte pubblicamente entro luglio. Poiché il software è popolare e viene utilizzato per archiviare dati sensibili, qualsiasi vulnerabilità comporta un rischio problematico.

Dopo l'annuncio della vulnerabilità da parte della CISA, la società di intelligence sulle minacce GreyNoise ha registrato un notevole aumento delle attività sospette mirate alla vulnerabilità. Al momento, l'identità dei responsabili dello sfruttamento di questa vulnerabilità rimane sconosciuta.

Negli ultimi tempi, i sistemi aziendali di trasferimento file sono stati nel mirino dei criminali informatici, data la notevole quantità di dati sensibili che spesso contengono. L'annuncio, sebbene fatto in buona fede per assistere le organizzazioni che utilizzano i servizi Citrix ShareFile, ha potenzialmente allertato entità malintenzionate su una debolezza fondamentale. Questa potrebbe essere la causa del recente aumento di attività sospette.

In particolare, il gruppo ransomware Clop, che si ritiene abbia sede in Russia, ha rivendicato la responsabilità di aver attaccato diversi strumenti aziendali. Tra questi figurano MTA di Accellion, GoAnywhere MFT di Fortra e, più recentemente, MOVEit Transfer di Progress.

I dati recenti condivisi dalla società di sicurezza informatica Emsisoft dipingono un quadro preoccupante. Gli attacchi contro MOVEit hanno attualmente colpito 668 organizzazioni, con oltre 46 milioni di persone coinvolte. Inoltre, all'inizio di questa settimana, una violazione della sicurezza che ha coinvolto MOVEit ha portato al furto di dati medici e sanitari di oltre quattro milioni di americani, a seguito di un attacco informatico contro IBM.

Tutte le organizzazioni che utilizzano Citrix ShareFile dovrebbero aver aggiornato e applicato tutte le patch dei fornitori pertinenti entro il 6 settembre. Quelle che non hanno applicato le patch rischiano di perdere dati sensibili a causa di attacchi dannosi. Questa non è la prima né l'ultima vulnerabilità che le aziende incontreranno negli ambienti cloud, ma rimanere aggiornati sulle patch e monitorare in modo proattivo le vulnerabilità aiuterà a impedire a visitatori indesiderati di rubare dati protetti.