由于野外攻击，CISA 将 Citrix ShareFile 缺陷添加到 KEV 目录中

根据活跃的野外利用证据，美国网络安全和基础设施安全局 (CISA) 已将 Citrix ShareFile 存储区域控制器中的一个关键安全漏洞添加到其已知被利用的漏洞 ( KEV ) 目录中。

该缺陷被追踪为CVE-2023-24489（CVSS 评分：9.8），被描述为不正确的访问控制错误，如果成功利用该错误，可能允许未经身份验证的攻击者远程危害易受攻击的实例。

该问题的根源在于 ShareFile 对加密操作的处理，使攻击者能够上传任意文件，从而导致远程代码执行。

Citrix在 6 月份发布的公告中表示：“此漏洞影响 5.11.24 版本之前的所有当前受支持的客户管理 ShareFile 存储区域控制器版本。” Assetnote 的 Dylan Pindur 被认为是发现并报告该问题的人。

值得注意的是，该漏洞被利用的第一个迹象是在 2023 年 7 月底出现的。

尽管 Cl0p 勒索软件团伙对利用托管文件传输解决方案（例如 Accellion FTA、SolarWinds Serv-U、GoAnywhere MFT 和 Progress MOVEit）中的零日漏洞特别感兴趣，但攻击背后的威胁行为者的身份尚不清楚。近几年转会。

威胁情报公司 GreyNoise 表示，它观察到针对该漏洞的利用尝试大幅增加，仅 2023 年 8 月 15 日就记录了多达75 个唯一 IP 地址。

GreyNoise表示：“CVE-2023-24489 是 Citrix ShareFile 存储区域控制器中的一个加密错误，该控制器是一个在 IIS 下运行的 .NET Web 应用程序。 ”

“该应用程序使用带有 CBC 模式和 PKCS7 填充的 AES 加密，但无法正确验证解密的数据。这种疏忽使攻击者能够生成有效的填充并执行攻击，从而导致未经身份验证的任意文件上传和远程代码执行。”

联邦民事行政部门 (FCEB) 机构已被授权在 2023 年 9 月 6 日之前应用供应商提供的修复程序来修复该漏洞。

这一进展正值人们对主动利用CVE-2023-3519（影响 Citrix NetScaler 产品的关键漏洞）发出安全警报之际，在受感染的设备上部署 PHP Web shell 并获得持久访问。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/7767.html