Citrix NetScaler ที่ยังไม่ได้รับการอัปเดตแพตซ์ และเข้าถึงได้จากกับอินเทอร์เน็ต กำลังตกเป็นเป้าหมายของผู้โจมตีที่คาดว่าเป็นกลุ่ม ransomware

บริษัทด้านความปลอดภัยทางไซเบอร์ Sophos กำลังติดตามการดำเนินการของกลุ่มผู้โจมตีภายใต้ชื่อ STAC466

โดยกลุ่มผู้โจมตีใช้ประโยชน์จากช่องโหว่ CVE-2023-3519 ซึ่งเป็นช่องโหว่ code injection ระดับ Critical ที่ส่งผลกระทบต่อ NetScaler ADC และ Gateway servers ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องผ่านการยืนยันตัวตน

ในการโจมตีครั้งหนึ่งที่ถูกตรวจพบในช่วงกลางเดือนสิงหาคม 2023 พบว่า ช่องโหว่ดังกล่าวได้ถูกใช้ในการดำเนินการโจมตีระดับโดเมนรวมถึงการ injecting payloads ลงในไฟล์ของระบบปฏิบัติการ เช่น Windows Update Agent (wuauclt.

รายงานจาก Shadowserver Foundation พบว่า เซิร์ฟเวอร์ Citrix NetScaler ADC และเกตเวย์จำนวนมากถูกโจมตีโดยผู้ไม่หวังดีเพื่อทำการติดตั้ง web shells
Shadowserver ระบุว่าการโจมตีครั้งนี้ใช้ประโยชน์จากช่องโหว่ CVE-2023-3519 ซึ่งเป็นช่องโหว่ code injection ระดับ Critical ที่อาจจะนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องผ่านการยืนยันตัวตน
ก่อนหน้านี้ การโจมตีโดยใช้ประโยชน์จากช่องโหว่ CVE-2023-3519 เพื่อทำการติดตั้ง web shells ได้รับการเปิดเผยโดยหน่วยงานด้านความมั่นคงทางไซเบอร์สหรัฐ (CISA) ซึ่งพบว่าในเดือนมิถุนายน 2566 มีการโจมตีที่มุ่งเป้าไปที่องค์กรที่เกี่ยวข้องกับโครงสร้างพื้นฐานที่สำคัญ

โดยปัจจุบันช่องโหว่ดังกล่าวได้รับการแก้ไขจาก Citrix ไปเรียบร้อยแล้วเมื่อช่วงเดือนที่ผ่านมา
IP Address ที่ได้รับผลกระทบจำนวนมากที่สุดอยู่ในเยอรมนี รองลงมาคือฝรั่งเศส สวิตเซอร์แลนด์ อิตาลี สวีเดน สเปน ญี่ปุ่น จีน ออสเตรีย และบราซิล

รายงานดังกล่าวถูกเปิดเผยภายหลังจากที่ GreyNoise เคยระบุว่ามีการตรวจพบ IP Address 3 รายการที่พยายามใช้ประโยชน์จากช่องโหว่ CVE-2023-24489 (คะแนน CVSS: 9.1) ซึ่งเป็นช่องโหว่ระดับ Critical อีกรายการหนึ่งในซอฟต์แวร์ Citrix ShareFile ที่ทำให้สามารถอัปโหลดไฟล์ได้ตามที่ต้องการโดยไม่ต้องผ่านการยืนยันตัวตน และยังสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ โดยช่องโหว่นี้ได้รับการแก้ไขแล้วใน ShareFile storage zones controller เวอร์ชัน 5.11.24 และใหม่กว่า
โดยล่าสุดเมื่อวันที่ 7 สิงหาคม 2023 Shadowserver Foundation ระบุว่า NetScaler ADC และ Gateway ที่มีช่องโหว่ CVE-2023-3519 เกือบ 7,000 รายการ กำลังถูกโจมตีเพื่อติดตั้ง PHP web shells บนเซิร์ฟเวอร์ที่มีช่องโหว่ เพื่อทำให้ผู้โจมตีสามารถเข้าถึงได้จากระยะไกล

ที่มา : thehackernews.

Citrix Netscaler ADC และ Gateway server หลายพันตัวที่เข้าถึงได้จากอินเทอร์เน็ต มีความเสี่ยงต่อการถูกโจมตีจากช่องโหว่ CVE-2023-3519 ซึ่งเป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) โดยไม่ต้องผ่านการตรวจสอบสิทธิ์

นักวิจัยด้านความปลอดภัยจาก Shadowserver Foundation ซึ่งเป็นองค์กรไม่แสวงผลกำไรที่อุทิศตนเพื่อยกระดับความปลอดภัยทางอินเทอร์เน็ต เปิดเผยการค้นพบว่ามีอุปกรณ์ Citrix Netscaler ADC และ Gateway server อย่างน้อย 15,000 เครื่องที่ถูกระบุว่าอาจจะกำลังมีความเสี่ยงต่อการถูกโจมตีโดยใช้ช่องโหว่ CVE-2023-3519 จากข้อมูลเวอร์ชันของระบบ (more…)

Citrix ออกมาเตือนผู้ใช้งานให้รีบอัปเดตแพตซ์ด้านความปลอดภัยเพื่อแก้ไขช่องโหว่บน Citrix Application Delivery Management (ADM) ที่อาจส่งผลให้ผู้โจมตีสามารถรีเซ็ตรหัสผ่านของ Admin ได้

Citrix ADM เป็น web-base solution ที่ทำให้ผู้ดูแลระบบสามารถบริหารจัดการระบบของ Citrix ทั้งฝั่ง On-premises และบนคลาวด์ ไม่ว่าจะเป็น Citrix Application Delivery Controller (ADC), Citrix Gateway, หรือ Citrix Secure Web Gateway

Florian Hauser จาก Code White เป็นผู้รายงานช่องโหว่ดังกล่าว ซึ่งมีหมายเลข CVE-2022-27511 Improper Access Control weakness โดยช่องโหว่ดังกล่าวจะมีผลกระทบกับทั้ง Citrix ADM server และ Citrix ADM agent เช่น Citrix ADM เวอร์ชันที่เก่ากว่า 13.0-85.19 และ Citrix ADM เวอร์ชันที่เก่ากว่า 13.1-21.53 โดยหากผู้โจมตีสามารถโจมตีได้สำเร็จจะสามารถสั่งรีเซ็ตรหัสผ่านของผู้ดูแลระบบได้

โดย Citrix ระบุว่า "ผลกระทบที่เกิดขึ้นหลังจากการสั่งรีเซ็ตรหัสผ่านของผู้ดูแลระบบคือ เมื่ออุปกรณ์ถูกรีบูทขึ้นมาใหม่ ผู้โจมตีสามารถเข้าถึงอุปกรณ์ผ่านทาง SSH โดยใช้ค่ารหัสผ่านเริ่มต้นของบัญชีผู้ดูแลระบบได้"

โดยผู้ใช้งานที่ใช้ Citrix ADM เวอร์ชัน cloud จะได้รับการแก้ไขโดยอัตโนมัติ แต่หากมีการใช้งานในเวอร์ชัน on-premise แนะนำผู้ใช้งานรีบอัปเดตแพตซ์โดยเร็วที่สุด โโย Citrix ยังแนะนำให้มีการจำกัดการเข้าถึง Citrix ADM จากเครื่องที่ได้รับอนุญาตเท่านั้น

ที่มา: bleepingcomputer.

สถาบันวิจัยพลังงานปรมาณูเกาหลี (KAERI) ของรัฐบาลเกาหลีใต้เปิดเผยเมื่อวันศุกร์ว่าเครือข่ายภายในของบริษัทถูกบุกรุกโดยผู้ต้องสงสัยที่คาดว่ามาจากเกาหลีเหนือ

การบุกรุกเกิดขึ้นเมื่อวันที่ 14 พฤษภาคม ผ่านช่องโหว่ของ VPN (โดยยังไม่มีการระบุว่าเป็นของผู้ให้บริการรายใด) และมี IP Address ของผู้โจมตีที่เกี่ยวข้องกับเหตุการณ์นี้ทั้งหมด 13 IP โดยหนึ่งในนั้นคือ IP "27.102.114[.]89" ซึ่งมีประวัติการเชื่อมโยงกับกลุ่มแฮกเกอร์ที่คาดว่าได้รับการสนับสนุนโดยรัฐบาลเกาหลีเหนือชื่อว่า Kimsuky

KAERI ก่อตั้งขึ้นในปี 2502 ในเมืองแดจอน เป็นสถาบันวิจัยที่ได้รับทุนสนับสนุนจากรัฐบาลซึ่งออกแบบ และพัฒนาเทคโนโลยีนิวเคลียร์ที่เกี่ยวข้องกับเครื่องปฏิกรณ์ แท่งเชื้อเพลิง การหลอมรวมของรังสี และความปลอดภัยของนิวเคลียร์

หลังจากการบุกรุก KAERI กล่าวว่าได้ดำเนินการตามขั้นตอนเพื่อบล็อก IP Address ของผู้โจมตี และอัพเดทแพตซ์ของ VPN ที่มีช่องโหว่เรียบร้อยแล้ว โดยสถาบันฯกำลังสืบสวนรายละเอียดผลกระทบจากการบุกรุก และมูลค่าความเสียหายที่เกิดขึ้น

จากรายงานของสำนักข่าว SISA ของเกาหลีใต้ซึ่งเปิดเผยถึงเหตุการณ์การบุกรุกในครั้งนี้ โดยสำนักข่าวอ้างว่า KAERI พยายามปกปิดการโจมตี โดยพยายามปฏิเสธการโจมตีที่เกิดขึ้น ซึ่ง KAERI อ้างว่าเป็นเพียงความผิดพลาดจากพนักงานระดับปฏิบัติการเท่านั้น

ตั้งแต่ปี 2012 Kimsuky (หรือที่รู้จักในชื่อ Velvet Chollima, Black Banshee หรือ Thallium) เป็นกลุ่มแฮกเกอร์ชาวเกาหลีเหนือที่รู้จักในแคมเปญจารกรรมทางอินเทอร์เน็ตที่กำหนดเป้าหมายไปยังสถาบันวิจัย และปฏิบัติการพลังงานนิวเคลียร์ในเกาหลีใต้

เมื่อช่วงต้นเดือนที่ผ่านมา บริษัทผู้เชี่ยวชาญทางด้าน Cyber Security อย่าง Malwarebytes ได้เปิดเผยถึงการโจมตีไปยังเจ้าหน้าที่ระดับสูงของรัฐบาลเกาหลีใต้ โดยใช้วิธีการติดตั้ง Backdoor บนระบบปฏิบัติการ Android และ Windows ที่ชื่อว่า AppleSeed โดยมีเป้าหมายเพื่อรวบรวมข้อมูลที่มีความสำคัญ

โดยมีเป้าหมายคือหน่วยงานที่เกี่ยวข้องกับกระทรวงการต่างประเทศ เอกอัครราชทูตศรีลังกาประจำประเทศ เจ้าหน้าที่ความมั่นคงทางนิวเคลียร์ของสำนักงานพลังงานปรมาณูระหว่างประเทศ (IAEA) และรองกงสุลใหญ่ประจำสถานกงสุลเกาหลีใต้ในฮ่องกง โดยมี IP Address ของ command-and-control (C2) ที่ตรงกัน

ยังไม่มีข้อมูลว่าช่องโหว่ VPN ที่ถูกใช้ในการโจมตีที่เกิดขึ้นเป็นของผู้ให้บริการรายใด แต่ที่ผ่านมามีหลายองค์กรที่ถูกโจมตีด้วยช่องโหว่ของ VPN จากผู้ให้บริการต่างๆเช่น Pulse Secure, SonicWall, Fortinet FortiOS และ Citrix หลายครั้งในช่วงไม่กี่ปีที่ผ่านมา

ที่มา : thehackernews

NCC Group และบริษัทในเครือ Fox-IT ได้ออกรายงานถึงกลุ่มแฮกเกอร์ชาวจีนที่ต้องสงสัยที่มีชื่อกลุ่มว่า “Chimera” ได้โจมตีอุตสาหกรรมสายการบินในช่วงไม่กี่ปีที่ผ่านมา โดยมีเป้าหมายเพื่อการขโมยข้อมูลผู้โดยสารและเพื่อติดตามการเคลื่อนไหวของบุคคลที่น่าสนใจ

ตามรายงานของ NCC Group และ Fox-IT ที่ได้สังเกตเห็นกลุ่มแฮกเกอร์ต้องสงสัยนี้ในระหว่างการรับมือกับเหตุการณ์การโจมตีต่าง ๆ (incident response) ระหว่างเดือนตุลาคม 2019 ถึงเมษายน 2020 โดยเป้าหมายของการโจมตีเหล่านี้จะพุ่งเป้าไปที่บริษัทเซมิคอนดักเตอร์และบริษัทในอุตสาหกรรมสายการบินในหลายประเทศและไม่ใช่เฉพาะในเอเชีย

NCC และ Fox-IT กล่าวต่อว่าได้พบไฟล์ DLL ที่ออกแบบมาเป็นพิเศษถูกใช้ในการดึงข้อมูล Passenger Name Records (PNR) ในระหว่างที่ทางบริษัทเข้าไปรับมือกับสถานะการการโจมตีในบริษัทในอุตสาหกรรมสายการบิน

กลุ่ม Chimera โจมตีโดยเริ่มต้นด้วยการรวบรวมข้อมูล Credentials เพื่อเข้าสู่ระบบของเป้าหมาย โดยการใช้ข้อมูลที่ถูกซื้อขายในฟอรัมแฮกเกอร์หรือข้อมูลที่ถูกรั่วไหลจากฟอรัมต่างๆ จากนั้นจะใช้เทคนิค Credential stuffing หรือ Password spraying ในเข้าสู่บัญชีของพนักงานที่อยู่ภายในบริษัทที่ตกเป้าหมาย เช่น บัญชีอีเมล และเมื่อสำเร็จแล้วจะทำการค้นหารายละเอียดของการเข้าสู่ระบบสำหรับขององค์กรเช่นระบบ Citrix และอุปกรณ์ VPN เป็นต้น เมื่อสามารถอยู่ในเครือข่ายภายในได้ผู้บุกรุกมักจะติดตั้ง Cobalt Strike ซึ่งเป็นเครื่องมือในการทดสอบการเจาะระบบ จากนั้นจะทำการเคลื่อนย้ายไปยังระบบต่าง ๆ ให้ได้มากที่สุดโดยค้นหาทรัพย์สินทางปัญญา (Intellectual Property) และรายละเอียดผู้โดยสาร ซึ่งเมื่อพบและรวบรวมข้อมูลแล้ว ข้อมูลเหล่านี้ได้จะถูกอัปโหลดไปยังบริการคลาวด์สาธารณะเช่น OneDrive, Dropbox หรือ Google Drive เพื่อป้องกันการตรวจสอบหรือบล็อกภายในเครือข่ายที่ถูกละเมิด

ทั้งนี้ผู้ดูแลระบบควรทำการตรวจสอบระบบของท่านอยู่เป็นประจำ ทำการอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดและควรใช้อุปกรณ์ในการตรวจจับเหตุการ์ต่างๆ เพื่อเป็นการป้องกันการตกเป็นเป้าหมายของผุ้ประสงค์ร้าย

ที่มา: zdnet

Citrix ออกประกาศและแพตช์สำหรับ 3 ช่องโหว่ใหม่ในแพลตฟอร์ม Citrix SD-WAN ได้แก่ CVE-2020-8721, CVE-2020-8272 และ CVE-2020-8273

ในส่วนของ 2 ช่องโหว่แรกนั้น ช่องโหว่ CVE-2020-8271 เป็นช่องโหว่ซึ่งทำให้ผู้โจมตีสามารถโจมตีด้วยวิธีการ Path traversal แบบไม่ต้องมีการยืนยันตัวตนรวมไปถึงทำ Shell injection ได้ ช่องโหว่ CVE-2020-8272 เป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถข้ามผ่านการระบุตัวตนได้ การโจมตีจะเกิดขึ้นได้ก็ต่อเมื่อแฮกเกอร์สามารถเข้าถึงหมายเลขไอพีแอดเดรสขา Management หรือ FQDN ของระบบ SD-WAN ได้

สำหรับช่องโหว่ที่สามนั้น ช่องโหว่ CVE-2020-8273 เป็นช่องโหว่ในลักษณะ Shell injection ซึ่งทำให้ผู้โจมตีสามารถรันคำสั่งของระบบได้ เงื่อนไขการโจมตีของช่องโหว่นี้อยู่ที่ผู้โจมตีจะต้องผ่านการพิสูจน์ตัวตนเป็นผู้ใช้งานในระบบก่อน

ช่องโหว่ทั้งหมดส่งผลกระทบต่อ Citrix SD-WAN Center ก่อนเวอร์ชัน 11.2.2, 11.1.2b และ 10.2.8 และยังไม่มีการประเมินคะแนนตามแนวทางของ CVSS ออกมา อย่างไรก็ตามขอให้ผู้ใช้งานติดตามและดำเนินการอัปเดตแพตช์ตามความเหมาะสมโดยด่วนด้วยลักษณะของผลกระทบจากช่องโหว่ที่สูง

ที่มา: threatpost

กลุ่มแฮกเกอร์รัสเซียกำหนดเป้าหมายมุ่งโจมตีสถาบันพัฒนาวัคซีนต้านไวรัส COVID-19 ด้วยมัลแวร์

ศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร หรือ National Cyber Security Centre (NCSC) ได้เปิดเผยถึงรายละเอียดของกลุ่มเเฮกเกอร์รัสเซียซึ่งได้ทำการโจมตีองค์กรที่เกี่ยวข้องในการวิจัยและพัฒนาวัคซีนต่อต้าน Coronavirus หรือ COVID-19 ซึ่งกิจกรรมการโจมตีดังกล่าวกำลังถูกดำเนินการด้วยกลุ่มภัยคุกคาม APT29

รายงานดังกล่าวประกอบด้วยข้อมูลจากหลายแหล่งซึ่งเป็นความพยายามร่วมมือกันของศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร (NCSC), สำนักงานความมั่นคงด้านการสื่อสารของแคนาดา (CSE), สำนักงานความมั่นคงแห่งชาติสหรัฐอเมริกา (NSA) และ หน่วยงานด้านความมั่นคงปลอดภัยและโครงสร้างพื้นฐานทางไซเบอร์ (CISA ) โดยรายละเอียดของรายงานพบว่ากลุ่ม Cozy Bear นั้นพยายามทำการ Spear Phishing รวมไปถึงการใช้ประโยชน์จากช่องโหว่ Citrix (CVE-2019-19781), Pulse Secure (CVE-2019-11510), Fortigate (CVE-2019-13379) และ Zimbra Collaboration Suite (CVE-2019-9670)

รายงานยังกล่าวอีกว่าหลังจากกลุ่มเเฮกเกอร์สามารถเข้าถึงเครือข่ายภายในองค์กรที่ตกเป็นเหยื่อแล้วพวกเขาจะทำการดาวน์โหลดและติดตั้งมัลแวร์ SoreFang, WellMess และ WellMail

ผู้ดูแลระบบควรทำการรีบอัพเดตเเพตซ์การเเก้ไขช่องโหว่ที่กล่าวมาข้างต้นเพื่อป้องกันการโจมตีและการหาประโยชน์จากช่องโหว่ โดยกลุ่มผู้ประสงค์ร้ายต่างๆ ทั้งนี้ผู้ที่สนใจ IOCs ของมัลแวร์ข้างต้นสามารถเข้าไปดูรายละเอียดได้ที่: ncsc.

Citrix ได้ทำการออกเเพตซ์แก้ไขช่องโหว่ 11 รายการที่พบว่าส่งผลกระทบต่อ Citrix ADC, Citrix Gateway และ Citrix SD-WAN WANOP (อุปกรณ์รุ่น 4000-WO, 4100-WO, 5000-WO และ 5100-WO) ซึ่งแพตซ์การเเก้ไขนี้ไม่เกี่ยวข้อกับช่องโหว่การโจมตีจากระยะไกล CVE-2019-19781 ที่ได้ออกเเพตซ์ความปลอดภัยไปแล้วในเดือนมกราคม 2020 และช่องโหว่เหล่านี้ไม่มีผลต่ออุปกรณ์ Citrix เวอร์ชั่นคลาวด์

โดยช่องโหว่ที่ได้รับการเเก้ไขมีรายละเอียดที่สำคัญมีดังนี้

ช่องโหว่ CVE-2019-18177 โดยช่องโหว่เป็นประเภท Information disclosure โดยช่องโหว่ทำให้ผู้โจมตีที่ผ่านการตรวจสอบสิทธิ์ผ่าน VPN User สามารถดูข้อมูลการตั้งค่าได้ ส่วนช่องโหว่ CVE-2020-8195 และ CVE-2020-8196 เป็นช่องโหว่การเปิดเผยข้อมูลเช่นกัน โดยช่องโหว่จะทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธ์จาก NSIP สามารถดูข้อมูลการตั้งค่าได้
ช่องโหว่ CVE-2020-8187 เป็นช่องโหว่ที่ทำให้ผู้โจมตีจากระยะไกลที่ไม่ได้ทำการตรวจสอบสิทธิ์สามารถทำการ Denial of Service (DoS) ระบบได้ ช่องโหว่นี้จะมีผลกับ Citrix ADC และ Citrix Gateway 12.0 และ 11.1 เท่านั้น
ช่องโหว่ CVE-2020-8190 เป็นช่องโหว่ประเภทการยกระดับสิทธ์ ซึ่งช่องโหว่จะทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธ์จาก NSIP ทำการยกระดับสิทธิ์ได้ ส่วน CVE-2020-8199 ซึ่งเป็นเป็นช่องโหว่ประเภทการยกระดับสิทธ์เช่นกัน โดยช่องโหว่จะมีผลกระทบต่อปลั๊กอิน Citrix Gateway สำหรับ Linux ทำให้ผู้โจมตีสามารถยกระดับสิทธ์ภายใน Citrix Gateway สำหรับ Linux ได้
ช่องโหว่ CVE-2020-8191 และ CVE-2020-8198 เป็นช่องโหว่ Cross Site Scripting (XSS) ทำให้ผู้โจมตีจากระยะไกลสามารถทำการ XSS โดยการหลอกล่อให้เหยื่อทำการเปิดลิงก์ที่ควบคุมโดยผู้โจมตีในเบราว์เซอร์เพื่อทำการโจมตีผู้ใช้
ช่องโหว่ CVE-2020-8193 เป็นช่องโหว่การ Bypass การตรวจสอบสิทธ์ โดยเงื่อนไขคือผู้โจมตีต้องสามารถเข้าถึง NSIP ได้ก่อนจึงจะสามารถใช้ประโยชน์จากช่องโหว่ได้
ช่องโหว่ CVE-2020-8194 เป็นช่องโหว่ Code injection โดยเงื่อนไขของคือผู้ใช้ต้องดาวน์โหลดและดำเนินการไบนารี่ที่เป็นอันตรายจาก NSIP ก่อนจึงจะทำให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ได้

Citrix ได้แนะนำให้ผู้ใช้งานหรือผู้ดูแลระบบทำการอัพเดตเเพซต์การแก้ไขและติดตั้งให้เป็นเวอร์ชั่นใหม่ล่าสุดเพื่อป้องกันผู้ไม่หวังดีทำการใช้ประโยชน์จากช่องโหว่ดังกล่าว

ที่มา: citrix.

แจ้งเตือน: ช่องโหว่บน Citrix ShareFile ที่ทำให้ผู้โจมตีสามารถขโมยข้อมูลขององค์กรออกไปได้

Citrix ผู้ให้บริการซอฟต์แวร์และระบบเครือข่ายยักษ์ใหญ่ของโลกได้เปิดตัวแพตช์การอัปเดตซอฟต์แวร์ที่ได้ทำการแก้ไขช่องโหว่ด้านความปลอดภัยที่มีผลกระทบต่อ Citrix ShareFile ช่องโหว่ดังกล่าวได้รับเเจ้งจากนักวิจัยชื่อ Dimitri van de Giessen ที่ได้รายงานเกี่ยวกับช่องโหว่ Citrix ShareFile ที่ถูกติดตามเป็น CVE-2020-7473, CVE-2020-8982 และ CVE-2020-8983

Citrix ShareFile เป็นโซลูชันการแชร์ไฟล์และป้องกันข้อมูลระดับองค์กร Citrix ShareFile มีความสามารถในการตรวจสอบและควบคุมอุปกรณ์ตัวอย่างเช่นสามารถล็อคหรือลบข้อมูลจากอุปกรณ์พกพาที่อาจถูกบุกรุกจากระยะไกลหรืออุปกรณ์พกพาถูกขโมย เป็นต้น

ช่องโหว่ CVE-2020-7473, CVE-2020-8982 และ CVE-2020-8983 เป็นช่องโหว่ที่ส่งผลกระทบต่อระบบการควบคุม Citrix ShareFile storage ซึ่งเป็นโซนที่เก็บข้อมูลของลูกค้าที่อยู่หลังไฟร์วอลล์ ช่องโหว่อาจทำให้ผู้โจมตีสามารถเข้าถึงเอกสารและโฟลเดอร์ของผู้ใช้ที่ใช้งาน ShareFile ช่องโหว่มีผลกับระบบ Citrix ShareFile เวอร์ชัน 5.9.0/5.8.0/5.7.0/5.6.0 / 5.5.0 และรุ่นก่อนหน้า

Citrix ได้ออกคำแนะนำให้ผู้ใช้หรือองค์กรทำการอัปเกรด Storage Zones Controller เป็นเวอร์ชัน 5.10 0 / 5.9.1 / 5.8.1 หรือเวอร์ชันล่าสุดเพื่อทำการเเก้ไขช่องโหว่ดังกล่าว

ที่มา: thehackernews