CISA หน่วยงานด้านการรักษาความมั่นคงทางไซเบอร์ของสหรัฐ ได้แจ้งเตือนการพบช่องโหว่ความรุนแรงระดับ critical ใน Citrix ShareFile secure file transfer ซึ่งมีหมายเลข CVE-2023-24489 กำลังตกเป็นเป้าหมายการโจมตี โดย CISA ได้เพิ่มช่องโหว่ดังกล่าวไปในแคตตาล็อกของ known security exploited vulnerability (KEV) เรียบร้อยแล้ว
Citrix ShareFile (หรือเรียกว่า Citrix Content Collaboration) เป็นโซลูชันการจัดเก็บไฟล์บนคลาวด์ SaaS ที่มีการจัดการ ซึ่งช่วยให้ผู้ใช้งานสามารถอัปโหลด และดาวน์โหลดไฟล์ได้อย่างปลอดภัย รวมถึงยังมีโซลูชัน 'Storage zones controller' ที่ช่วยให้ลูกค้าองค์กรสามารถกำหนดค่าพื้นที่จัดเก็บข้อมูลส่วนตัวของตนเป็นโฮสต์ไฟล์ได้ ไม่ว่าจะเป็นในองค์กร หรือบนแพลตฟอร์มคลาวด์ที่รองรับ เช่น Amazon S3 และ Windows Azure
เมื่อวันที่ 13 มิถุนายน 2023 Citrix ได้เผยแพร่คำแนะนำด้านความปลอดภัยเกี่ยวกับช่องโหว่ ShareFile storage zones ที่มีหมายเลข CVE-2023-24489 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ critical) ที่เกิดจากข้อผิดพลาดในการเข้ารหัส AES ของ ShareFile ทำให้ Hacker สามารถหลีกเลี่ยงการตรวจสอบสิทธิ์ และโจมตีโหว่ ShareFile storage zones ของลูกค้าได้จากภายนอก โดย Hacker สามารถอัปโหลด web shell ไปยังอุปกรณ์เพื่อให้เข้าถึงพื้นที่เก็บข้อมูล และไฟล์ทั้งหมดได้
CISA ได้แจ้งเตือนว่า Hacker มักมุ่งเป้าหมายการโจมตีไปยังช่องโหว่งประเภทดังกล่าว ซึ่งก่อให้เกิดความเสี่ยงที่สำคัญต่อองค์กรของรัฐบาลกลาง เนื่องจากช่องโหว่ที่ส่งผลกระทบต่อโซลูชัน Managed File Transfer (MFT) ทำให้ Hacker สามารถขโมยข้อมูลจากบริษัทต่าง ๆ
โดยกลุ่ม “Clop ransomware” ก็ถือเป็นหนึ่งในกลุ่ม Hacker ที่มุ่งเป้าหมายการโจมตีโดยใช้ช่องโหว่ประเภทนี้เช่นกัน โดยใช้ช่องโหว่เหล่านี้ในการโจมตีการโจมตีอย่างแพร่หลายมาตั้งแต่ปี 2021 โดยใช้ช่องโหว่ Zero-day ต่าง ๆ ในการโจมตี เช่น Accellion FTA solution, SolarWinds Serv-U, GoAnywhere MFT และล่าสุดคือ MOVEit Transfer Server
การโจมตียังคงมีอย่างต่อเนื่อง
นักวิจัยจาก AssetNote ได้แบ่งปันข้อมูลการวิจัยช่องโหว่ดังกล่าว เพื่อพัฒนา exploits สำหรับช่องโหว่ Citrix ShareFile CVE-2023-24489 หลังจากนั้นไม่นาน นักวิจัยคนอื่น ๆ ก็ปล่อย exploits ของตัวเองบน GitHub
รวมถึง GreyNoise ได้พบการพยายามโจมตี ShareFile Server ที่มีความเสี่ยงจากช่องโหว่ดังกล่าวกว่า 72 IP addressesโดยส่วนใหญ่มาจากเกาหลีใต้ และประเทศอื่น ๆ ในฟินแลนด์ สหราชอาณาจักร และสหรัฐอเมริกา
นอกจากนี้ทาง CISA ได้กำหนดให้หน่วยงาน Federal Civilian Executive Branch (FCEB) ทำการเร่งอัปเดตช่องโหว่ดังกล่าวภายในวันที่ 6 กันยายน 2023 รวมถึงแจ้งเตือนให้องค์กรต่าง ๆ เร่งทำการอัปเดตโดยเร็ว
ที่มา : bleepingcomputer
You must be logged in to post a comment.