CISA anuncia bug no Citrix ShareFile Transfer.

A agência de segurança cibernética do governo dos EUA, CISA, destacou recentemente uma vulnerabilidade que está a ser explorada no Citrix ShareFile, um software de transferência de ficheiros empresarial amplamente utilizado. Este bug permite que entidades maliciosas ataquem a partir de vários vetores e roubem dados confidenciais através de uma exploração facilmente evitável.

Vulnerabilidade do CISA Citrix Sharefile

Este bug — designado CVE-2023-24489 — foi considerado como uma «ameaça grave aos sistemas federais». Em resposta, a CISA estabeleceu o prazo de 6 de setembro de 2023 para que todas as agências civis do poder executivo federal, incluindo ela própria, apliquem os patches necessários fornecidos pelo fornecedor do software.

Este aviso da Citrix sobre a vulnerabilidade não é novo; eles já haviam chamado a atenção para a falha em junho. O bug, que recebeu uma pontuação incomum, mas crítica, de 9,8 em uma escala de 10 para a gravidade da vulnerabilidade, é definido como uma falha no controlo de acesso. Essa falha potencialmente permite que invasores não autorizados comprometam remotamente os controladores das zonas de armazenamento do Citrix ShareFile, sem a necessidade de senhas.

Embora o Citrix ShareFile seja reconhecido principalmente como uma ferramenta baseada na nuvem para transferências de ficheiros, ele também vem equipado com um «controlador de zonas de armazenamento». Essa ferramenta oferece às organizações a capacidade de armazenar ficheiros internamente ou em plataformas de nuvem compatíveis, como Amazon S3 e Windows Azure.

Dylan Pindur, da Assetnote, responsável por identificar essa vulnerabilidade, apontou que ela se originou de pequenos erros na adoção da criptografia AES pelo ShareFile. A análise de Pindur revelou que quase 6.000 organizações haviam se exposto acidentalmente ao público até julho. Como o software é popular e usado para armazenar dados confidenciais, qualquer vulnerabilidade leva a um caso de risco problemático.

Após o anúncio da vulnerabilidade pela CISA, a empresa de inteligência de ameaças GreyNoise observou um aumento significativo nas atividades suspeitas direcionadas à vulnerabilidade. Até o momento, a identidade dos responsáveis pela exploração dessa vulnerabilidade permanece desconhecida.

Recentemente, os sistemas de transferência de ficheiros corporativos têm estado na mira dos cibercriminosos, devido à quantidade significativa de dados confidenciais que frequentemente contêm. O anúncio, embora feito de boa-fé para ajudar as organizações que utilizam os serviços Citrix ShareFile, alertou potencialmente entidades maliciosas para uma fraqueza fundamental. Esta pode ser a causa por trás do recente aumento de atividades suspeitas.

Em particular, o grupo de ransomware Clop, que se acredita estar sediado na Rússia, assumiu a responsabilidade por atacar várias ferramentas corporativas. Entre elas estão o MTA da Accellion, o GoAnywhere MFT da Fortra e, mais recentemente, o MOVEit Transfer da Progress.

Os números recentes divulgados pela empresa de cibersegurança Emsisoft mostram um quadro preocupante. Os ataques direcionados ao MOVEit afetaram, até o momento, 668 organizações, com mais de 46 milhões de pessoas afetadas. Além disso, no início desta semana, uma violação de segurança envolvendo o MOVEit levou ao roubo de dados médicos e de saúde de mais de quatro milhões de americanos, após um ataque cibernético à IBM.

Todas as organizações que utilizam o Citrix ShareFile devem ter atualizado e aplicado todos os patches relevantes do fornecedor até 6 de setembro. Aquelas que não aplicaram os patches correm o risco de perder dados confidenciais devido a ataques maliciosos. Esta não é a primeira nem a última vulnerabilidade que as empresas encontrarão em ambientes de nuvem, mas manter-se atualizado com os patches e monitorar proativamente as vulnerabilidades ajudará a impedir que visitantes indesejados roubem dados protegidos.