Hacker nutzen eine neu entdeckte Schwachstelle in einer weiteren Dateiübertragungssoftware für Unternehmen aus, warnte die Cybersicherheitsbehörde der US-Regierung.
CISA am Mittwoch hinzugefügt eine Schwachstelle in Citrix ShareFile, verfolgt als CVE-2023-24489, zum Katalog „Known Exploited Vulnerabilities“ (KEV). Die Behörde warnte, dass der Fehler „erhebliche Risiken für das Bundesunternehmen“ mit sich bringt, und ordnete an, dass die zivilen Exekutivbehörden des Bundes – darunter auch CISA – bis zum 6. September Hersteller-Patches anwenden.
Citrix veröffentlichte zuerst a Warnung über die Sicherheitslücke bereits im Juni. Der Fehler, der mit einem Schweregrad der Schwachstelle von 9,8 von 10 bewertet wurde, wird als fehlerhafter Zugriffskontrollfehler beschrieben, der es einem nicht authentifizierten Angreifer ermöglichen könnte, kundenverwaltete Citrix ShareFile-Speicherzonen-Controller aus der Ferne zu kompromittieren, ohne dass Passwörter erforderlich sind.
Während Citrix ShareFile hauptsächlich ein Cloud-basiertes Dateiübertragungstool ist, bietet es auch ein „Storage Zones Controller“-Tool, mit dem Unternehmen Dateien vor Ort oder auf unterstützten Cloud-Plattformen wie Amazon S3 und Windows Azure speichern können.
Laut Dylan Pindur von Assetnoteder die Schwachstelle als Erster entdeckte und warnte, dass sie auf kleine Fehler in der Implementierung der AES-Verschlüsselung durch ShareFile zurückzuführen sei, hatten bis Juli bis zu 6.000 Organisationen öffentlich aufgedeckte Instanzen.
„Eine Online-Suche zeigt, dass etwa 1.000 bis 6.000 Instanzen über das Internet zugänglich sind“, sagte Pindur. „Diese Popularität, kombiniert mit der Software, die zum Speichern sensibler Daten verwendet wird, bedeutete, dass es erhebliche Auswirkungen haben könnte, wenn wir etwas finden würden.“
Das Threat-Intelligence-Startup GreyNoise sagte, es habe eine „erheblicher Anstieg” in der Aktivität von Angreifern, nachdem CISA seine Warnung vor der ShareFile-Schwachstelle veröffentlicht hatte.
Die Identität der Hacker hinter den beobachteten In-the-Wild-Angriffen ist noch nicht bekannt.
Unternehmenssoftware zur Dateiübertragung ist zu einem beliebten Ziel für Hacker geworden, da diese Systeme häufig große Mengen hochsensibler Daten speichern.
Allein die mit Russland verbundene Clop-Ransomware-Bande hat die Verantwortung für Angriffe auf mindestens drei Unternehmenstools übernommen, darunter MTA von Accellion, GoAnywhere MFT von Fortra und – zuletzt – MOVEit Transfer von Progress.
Nach den neuesten Daten des Cybersicherheitsunternehmens EmsisoftDie anhaltenden MOVEit-Massenangriffe haben bisher 668 Opferorganisationen gefordert, von denen mehr als 46 Millionen Menschen betroffen waren. Erst diese Woche wurde bekannt, dass mehr als vier Millionen Amerikaner ihre sensiblen medizinischen und Gesundheitsdaten gestohlen haben, nachdem IBM den MOVEit-Hackern zum Opfer gefallen war.