SECURITY INCIDENT?
BEL ONS 24/7 +31(0)88 133 0700

ShareFile Remote Code Execution (CVE-2023-24489)

Inhoud

Inhoud

Beschrijving dreigingsbeeld

Op 17 juli 2023 het NFIR TI Watchtower-team aanvullende informatie verzameld over het dreigingsbeeld inzake de kwetsbaarheid met CVE-nummer CVE-2023-24489. Dit omdat er inmiddels publieke exploits beschikbaar zijn.
Specifiek inzake de dreiging waarin een actor misbruik maakt van een kwetsbaarheid in Citrix ShareFile en Content Collaboration.
Deze kwetsbaarheid stelt een aanvaller in staat om toegang te verkrijgen tot de getroffen systemen en achterliggende doelsystemen.
Citrix ShareFile en Content Collaboration wordt door organisaties gebruikt voor het samenwerken, delen en synchroniseren van inhoud horende bij documenten en workflows.
De volgende versies van Citrix ShareFile/ Content Collaboration zijn volgens Citrix1 kwetsbaar voor misbruik:  

ShareFile Remote Code Execution (CVE-2023-24489) Threat Intel Report
Download het threat Intel Report - ShareFile Remote Code Execution (CVE-2023-24489)
Product Platform CVSS-score
Tenminste
  • Citrix ShareFile / Content Collaboration – Lager dan versie 5.11.24
 Citrix ShareFile / Content Collaboration 9.8 – Kritiek
Tabel 1: Overzicht van de getroffen producten De volgende CVSS-vector string is door NIST toegewezen is aan de kwetsbaarheid NFIR adviseert aan organisaties die Citrix-producten gebruiken (specifiek Citrix ShareFIle / Content Collaboration) om vast te stellen of de kwetsbare versies van ShareFile / Content Collaboration zoals hierboven beschreven aanwezig zijn op systemen binnen uw organisatie. Indien er een kwetsbare versie geconstateerd wordt, adviseert NFIR om deze software-versie te updaten en indien er indicaties over misbruik door actoren aanwezig zijn om forensisch onderzoek en/of incident response uit te laten voeren om te achterhalen of er sporen van misbruik van de kwetsbaarheid zijn
Acuut hulp nodig? Bel dan onze 24/7 CERT-lijn via 088 133 0700 en wij doen ons uiterste best om u zo snel mogelijk te helpen.

Het is belangrijk voor organisaties welke gebruik maken van Citrix ShareFile / Content Collaboration om ten minste de volgende stappen te nemen:

  1. Indien uw organisatie gebruikmaakt van ShareFile / Content Collaboration om vast te stellen
    of uw systemen kwetsbaar zijn. Controleer hiervoor de ShareFile / Content Collaborationversie van de aanwezige (virtuele) systemen binnen uw netwerkomgeving;
  2. Indien uw systemen kwetsbaar zijn adviseert NFIR om de getroffen systemen te updaten naar
    versies welke niet langer kwetsbaar zijn;
  3. Indien er indicaties zijn dat uw systemen misbruikt zijn adviseert NFIR om forensisch
    onderzoek uit te laten voeren om vast te stellen of uw omgeving gecompromitteerd is.
  4. Controleer (indien beschikbaar) publiek beschikbare Indicators-of-Compromise (IoC’s) op uw
    systemen om vast te stellen of er systemen mogelijk gecompromitteerd zijn, of laat extern
    preventief onderzoek uitvoeren naar uw systemen;

Zijn systemen kwetsbaar en zijn er systemen waarvan het risico groot is (bijvoorbeeld systemen met zeer gevoelige of bijzondere persoonsgegevens)? Zo ja, heeft u mogelijk indicaties dat het systeem niet direct gemitigeerd en/of geüpdatet kan worden? Overweeg dan om het systeem tijdelijk uit te schakelen totdat deze geüpdatet kan worden

TTPs gerelateerd aan handelingen van CVE-2023-24489 zoals waargenomen bij NFIR Watchtower zijn als volgt:
Initial Access

  • T1190 - Exploit Public-Facing Application Execution
  • T1059 - Command and Scripting Interpreter
  • T1059.003 - Windows Command Shell
  • T1059.004 -Unix Shell

Persistence

  • T1505.003 - Server Software Component: Web Shell

C2-behavior

  • T1105 - Ingress Tool Transfer

Indicatoren gerelateerd aan CVE-2023-24489:

 

TypeWaardeBeschrijving
Uitvoerbaar bestand/usr/bin/monoGebruikte Living Of the Land binary
(LOLBIN)
Uitvoerbaar bestandcmd.exeGebruikte Living Of the Land binary
(LOLBIN)
Gebruiker/Security Identifiernt system\authority (S-1-5-18)Gebruiker misbruikt via exploit
(Windows)
Gebruikerrootebruiker misbruikt via exploit (Unix)
Bestandspad/cifs/x.aspxBackdoor (ASPX)
Bestandspad/cifs/real.aspxGebruiker misbruikt via exploit
(Windows)
URLhttps://customer/cifs/real.aspxBackdoor URL (ASPX)
URLhttps://customer/cifs/x.aspxBackdoor URL (ASPX)

Heeft uw organisatie op dit moment een incident? Onze Computer Emergency Response Teams (CERT) staan 24/7 voor organisaties klaar om te ondersteunen bij IT- Security Incidenten.

Bel dan 088 133 0700 en wij doen ons uiterste best om u zo snel mogelijk te helpen.  Hier vindt u meer informatie over onze Incident Response dienst.

Download het threat Intel Report - ShareFile Remote Code Execution (CVE-2023-24489)

Disclaimer: NFIR heeft er alles aan gedaan om deze informatie accuraat en betrouwbaar te maken. De verstrekte informatie is echter zonder enige garantie van welke aard dan ook en het gebruik ervan is geheel voor risico van de gebruiker. NFIR aanvaardt geen enkele verantwoordelijkheid of aansprakelijkheid voor de juistheid, de inhoud, de volledigheid, de rechtmatigheid of de betrouwbaarheid van de verstrekte informatie.

Blijf op de hoogte van de laatste Security Threats

Blijf op de hoogte van de laatste IT Security dreigingen door u in te schrijven voor onze Threat Intelligence reports. Zodra wij een nieuw Threat Intelligence report publiceren wordt u direct op de hoogte gebracht per e-mail. 

"*" geeft vereiste velden aan

Naam*
Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.
Elementor Footer #15975

NFIR - Rijswijk

NFIR - Zwolle

Contact

Elementor Footer #15975
Elementor Footer #15975
Elementor Footer #15975

Copyright © 2024 NFIR B.V.