.
Os malfeitores estão explorando ativamente bugs críticos em dois dos produtos da Citrix, ambos os quais o player de TI de negócios corrigiu no início deste verão.
A Agência de Segurança Cibernética e Infraestrutura do Tio Sam (CISA) alertou na quarta-feira que os criminosos exploraram CVE-2023-24489um bug de controle de acesso impróprio de gravidade 9,8 de 10 no Citrix ShareFile.
O ShareFile é o aplicativo de colaboração e compartilhamento de arquivos do fornecedor e permite que as empresas armazenem arquivos na nuvem ou em um data center local.
CitrixGenericName soou o alarme sobre essa falha de segurança em 13 de junho e alertou que a vulnerabilidade, se explorada, “poderia permitir que um invasor não autenticado comprometa remotamente o controlador de zonas de armazenamento ShareFile gerenciado pelo cliente”.
Essa falha afeta todas as versões suportadas do controlador de zonas de armazenamento ShareFile gerenciado pelo cliente antes da versão 5.11.24, e a atualização para a versão mais recente preencherá o buraco, disse a Citrix na época.
Agora o bug foi adicionado ao CISA’s Catálogo de Vulnerabilidades Exploradas Conhecidas de coisas que devem ser consertadas o mais rápido possível porque estão sob ataque na natureza.
“Esses tipos de vulnerabilidades são vetores de ataque frequentes para cibercriminosos e representam riscos significativos para a empresa federal”, disse o Feds avisoue estabeleceu um prazo de 6 de setembro para que as agências civis federais dos EUA consertem a falha.
E caso alguém precise de provas de que os serviços gerenciados de transferência de arquivos são, de fato, alvos muito atraentes para criminosos: não procure mais do que o MOVEit saqueando pela equipe russa de ransomware Clop, que agora comprometido mais de 650 organizações e 46 milhões de indivíduos.
Citrix não respondeu Strong The One‘s inquéritos.
Caixas NetScaler com backdoor
Enquanto isso, outro bug crítico do Citrix, este no NetScaler e rastreado como CVE-2023-3519, também está sendo usado para comprometer centenas de servidores, de acordo com pesquisadores da Fox-IT.
CVE-2023-3519 é uma vulnerabilidade de injeção de código e também recebeu uma pontuação de gravidade CVSS de 9,8. Ele pode, e tem sido, explorado para execução remota de código.
A Citrix emitiu um alerta de segurança sobre este CVE e dois outros em 18 de julho. Na época, o fornecedor alertou que “foram observadas explorações de CVE-2023-3519 em dispositivos não mitigados”.
Segundo Mandiant, o prováveis culpados são ciberespiões baseados na China, embora as evidências sejam obscuras.
“Mandiant não pode atribuir esta atividade com base nas evidências coletadas até agora, no entanto, este tipo de atividade é consistente com operações anteriores por agentes do nexo da China com base em recursos e ações conhecidas contra Citrix ADC em 2022″, disse a equipe de inteligência de ameaças do Google.
Além disso, também há código de exploração de prova de conceito no GitHub, portanto, neste ponto, não é muito difícil para ninguém abusar desse buraco.
Em um relatório publicado na terça-feira, a Fox-IT, em colaboração com o Dutch Institute of Vulnerability Disclosure, disse que “descobriu uma campanha de exploração em larga escala” abusando dessa vulnerabilidade para dispositivos backdoor Citrix NetScalers.
De acordo com os pesquisadores, 31.127 servidores NetScalers voltados para o público foram considerados vulneráveis ao CVE-2023-3519 e, em 14 de agosto, cerca de 1.828 foram comprometidos e backdoored. E desses servidores backdoor, 1.248 foram corrigidos.
“Um NetScaler corrigido ainda pode conter um backdoor”, observou a Fox-IT. “É recomendável executar uma verificação de indicador de comprometimento em seus NetScalers, independentemente de quando o patch foi aplicado.”
Há algumas maneiras de fazer isso. A Fox-IT tem lançado um script Python que usa Dissecar para realizar triagem em imagens forenses de NetScalers.
E também esta semana, Mandiant oferecido um script Bash para verificar indicadores de comprometimento em sistemas ativos.
“Esteja ciente de que, se esse script for executado duas vezes, ele produzirá resultados falsos positivos, pois certas pesquisas são gravadas nos logs do NetScaler sempre que o script é executado”, alertou a Fox-IT. ®
.
