CISA maakt bug in Citrix ShareFile Transfer bekend.

Het Amerikaanse cyberbeveiligingsagentschap CISA heeft onlangs gewezen op een kwetsbaarheid in Citrix ShareFile, een veelgebruikte software voor bestandsoverdracht binnen bedrijven. Door deze bug kunnen kwaadwillende entiteiten vanuit meerdere vectoren aanvallen uitvoeren en gevoelige gegevens stelen via een eenvoudig te voorkomen exploit.

CISA Citrix Sharefile-kwetsbaarheid

Deze bug — aangeduid als CVE-2023-24489 — wordt beschouwd als een "ernstige bedreiging voor federale systemen". Als reactie hierop heeft CISA een deadline vastgesteld van 6 september 2023 voor alle federale civiele uitvoerende instanties, inclusief zichzelf, om de nodige patches van de softwareleverancier toe te passen.

Deze waarschuwing van Citrix over de kwetsbaarheid is niet nieuw; zij hadden in juni al aandacht gevraagd voor deze fout. De bug, die een ongebruikelijke maar kritieke kwetsbaarheidsscore van 9,8 op een schaal van 10 heeft gekregen, wordt gedefinieerd als een omissie in de toegangscontrole. Deze omissie geeft onbevoegde aanvallers mogelijk de mogelijkheid om de Citrix ShareFile-opslagzonecontrollers op afstand te compromitteren, zonder dat daarvoor wachtwoorden nodig zijn.

Hoewel Citrix ShareFile vooral bekend staat als een cloudgebaseerde tool voor bestandsoverdracht, is het ook uitgerust met een 'storage zones controller'. Deze tool biedt organisaties de mogelijkheid om bestanden intern op te slaan of op compatibele cloudplatforms zoals Amazon S3 en Windows Azure.

Dylan Pindur van Assetnote, degene die deze kwetsbaarheid heeft ontdekt, wees erop dat deze het gevolg was van kleine fouten in de toepassing van AES-encryptie door ShareFile. Uit de analyse van Pindur bleek dat bijna 6000 organisaties zich in juli per ongeluk publiekelijk hadden blootgegeven. Aangezien de software populair is en wordt gebruikt om gevoelige gegevens op te slaan, leiden eventuele kwetsbaarheden tot een problematisch risicogeval.

Na de bekendmaking van de kwetsbaarheid door CISA constateerde bedreigingsinformatiebedrijf GreyNoise een opvallende toename van verdachte activiteiten die op deze kwetsbaarheid waren gericht. Op dit moment is nog onbekend wie er misbruik maken van deze kwetsbaarheid.

De laatste tijd zijn bestandsoverdrachtssystemen van bedrijven het doelwit van cybercriminelen, omdat ze vaak grote hoeveelheden gevoelige gegevens bevatten. De aankondiging, die te goeder trouw werd gedaan om organisaties die gebruikmaken van de Citrix ShareFile-services te helpen, heeft mogelijk kwaadwillende entiteiten gewezen op een belangrijke zwakke plek. Dit kan de oorzaak zijn van de recente toename van verdachte activiteiten.

Met name de Clop-ransomwaregroep, die vermoedelijk in Rusland is gevestigd, heeft de verantwoordelijkheid opgeëist voor aanvallen op meerdere bedrijfstools. Hiertoe behoren onder meer Accellion's MTA, Fortra's GoAnywhere MFT en, meer recentelijk, MOVEit Transfer van Progress.

Recente cijfers van cyberbeveiligingsbedrijf Emsisoft schetsen een zorgwekkend beeld. De aanvallen op MOVEit hebben momenteel gevolgen voor 668 organisaties, waarbij meer dan 46 miljoen personen zijn getroffen. Bovendien heeft een beveiligingslek bij MOVEit eerder deze week geleid tot de diefstal van medische en gezondheidsgegevens van meer dan vier miljoen Amerikanen, na een cyberaanval op IBM.

Alle organisaties die Citrix ShareFile gebruiken, moeten vóór 6 september alle relevante patches van de leverancier hebben bijgewerkt en toegepast. Organisaties die dit niet hebben gedaan, lopen het risico gevoelige gegevens te verliezen door kwaadwillige aanvallen. Dit is niet de eerste of laatste kwetsbaarheid waarmee bedrijven in cloudomgevingen te maken krijgen, maar door patches bij te houden en proactief te controleren op kwetsbaarheden, kan worden voorkomen dat ongewenste bezoekers beschermde gegevens stelen.