Af Eskil Sørensen, 21/08/23
Angribere udnytter pt aktivt kritiske fejl i to af Citrix's produkter, som ellers blev rettet tidligere på sommeren. Det skriver The Register på baggrund af en advarsel fra CISA om, at kriminelle har udnyttet CVE-2023-24489, som er en sårbarhed vedrørende ukorrekt adgangskontrol i Citrix ShareFile.Sårbarheden har en CVSS-score på 9,8.
ShareFile er Citrix’ samarbejds- og fildelingsapplikation, og den giver virksomheder mulighed for at gemme filer i skyen eller i et lokalt datacenter. Selve sårbarheden blev kendt for offentligheden, da Citrix den 13. juni advarede om, at sårbarheden, hvis den udnyttes, 'kunne tillade en uautoriseret angriber at fjernkompromittere den kundeadministrerede ShareFile-lagerzonecontroller.'
Dengang blev det oplyst, at fejlen påvirker alle understøttede versioner af kundeadministrerede ShareFile-lagerzoner-controller før version 5.11.24. Den opdaterede version af applikationen retter fejlen.
Med advarslen fra CISA er fejlen også blevet tilføjet kataloget over kendte udnyttede sårbarheder fra CISA med ordren om, at føderale enheder skal rette fejlen seneste den 6. september. Særligt prekært er det, da en anden filoverførselstjeneste, MOVEit, henunder sommeren har været det store samtaleemne. Det er sket, efter at ransomwaregruppen Clop tidligere havde held til at kompromittere tjenesten og få adgang til betydelige mængder data fra over 650 organisationer verden over og med dette data fra over 40 millioner individer.
Den anden Citrix-fejl, som ifølge The Register er under udnyttelse, findes i NetScaler. Den har id'et CVE-2023-3519 og ligeledes en score på 9,8. CVE-2023-3519 er en code injection-sårbarhed, der kan udnyttes til fjernafvikling af kode. Denne sårbarhed blev tilføjet KEV-katalogen den 17. juli med deadline for håndtering den 9. august.