Beschrijving dreigingsbeeld
Op 17 juli 2023 het NFIR TI Watchtower-team aanvullende informatie verzameld over het dreigingsbeeld inzake de kwetsbaarheid met CVE-nummer CVE-2023-24489. Dit omdat er inmiddels publieke exploits beschikbaar zijn.
Specifiek inzake de dreiging waarin een actor misbruik maakt van een kwetsbaarheid in Citrix ShareFile en Content Collaboration.
Deze kwetsbaarheid stelt een aanvaller in staat om toegang te verkrijgen tot de getroffen systemen en achterliggende doelsystemen.
Citrix ShareFile en Content Collaboration wordt door organisaties gebruikt voor het samenwerken, delen en synchroniseren van inhoud horende bij documenten en workflows.
De volgende versies van Citrix ShareFile/ Content Collaboration zijn volgens Citrix1 kwetsbaar voor misbruik:
Product | Platform | CVSS-score |
Tenminste
| Citrix ShareFile / Content Collaboration | 9.8 – Kritiek |
Acuut hulp nodig? Bel dan onze 24/7 CERT-lijn via 088 133 0700 en wij doen ons uiterste best om u zo snel mogelijk te helpen.
Actieplan
Het is belangrijk voor organisaties welke gebruik maken van Citrix ShareFile / Content Collaboration om ten minste de volgende stappen te nemen:
- Indien uw organisatie gebruikmaakt van ShareFile / Content Collaboration om vast te stellen
of uw systemen kwetsbaar zijn. Controleer hiervoor de ShareFile / Content Collaborationversie van de aanwezige (virtuele) systemen binnen uw netwerkomgeving; - Indien uw systemen kwetsbaar zijn adviseert NFIR om de getroffen systemen te updaten naar
versies welke niet langer kwetsbaar zijn; - Indien er indicaties zijn dat uw systemen misbruikt zijn adviseert NFIR om forensisch
onderzoek uit te laten voeren om vast te stellen of uw omgeving gecompromitteerd is. - Controleer (indien beschikbaar) publiek beschikbare Indicators-of-Compromise (IoC’s) op uw
systemen om vast te stellen of er systemen mogelijk gecompromitteerd zijn, of laat extern
preventief onderzoek uitvoeren naar uw systemen;
Zijn systemen kwetsbaar en zijn er systemen waarvan het risico groot is (bijvoorbeeld systemen met zeer gevoelige of bijzondere persoonsgegevens)? Zo ja, heeft u mogelijk indicaties dat het systeem niet direct gemitigeerd en/of geüpdatet kan worden? Overweeg dan om het systeem tijdelijk uit te schakelen totdat deze geüpdatet kan worden
Indicators of Compromise (IoCs) gerelateerd aan CVE-2023-24489
TTPs gerelateerd aan handelingen van CVE-2023-24489 zoals waargenomen bij NFIR Watchtower zijn als volgt:
Initial Access
- T1190 - Exploit Public-Facing Application Execution
- T1059 - Command and Scripting Interpreter
- T1059.003 - Windows Command Shell
- T1059.004 -Unix Shell
Persistence
- T1505.003 - Server Software Component: Web Shell
C2-behavior
- T1105 - Ingress Tool Transfer
Indicatoren gerelateerd aan CVE-2023-24489:
Type | Waarde | Beschrijving |
Uitvoerbaar bestand | /usr/bin/mono | Gebruikte Living Of the Land binary (LOLBIN) |
Uitvoerbaar bestand | cmd.exe | Gebruikte Living Of the Land binary (LOLBIN) |
Gebruiker/Security Identifier | nt system\authority (S-1-5-18) | Gebruiker misbruikt via exploit (Windows) |
Gebruiker | root | ebruiker misbruikt via exploit (Unix) |
Bestandspad | /cifs/x.aspx | Backdoor (ASPX) |
Bestandspad | /cifs/real.aspx | Gebruiker misbruikt via exploit (Windows) |
URL | https://customer/cifs/real.aspx | Backdoor URL (ASPX) |
URL | https://customer/cifs/x.aspx | Backdoor URL (ASPX) |
Heeft uw organisatie op dit moment een incident? Onze Computer Emergency Response Teams (CERT) staan 24/7 voor organisaties klaar om te ondersteunen bij IT- Security Incidenten.
Bel dan 088 133 0700 en wij doen ons uiterste best om u zo snel mogelijk te helpen. Hier vindt u meer informatie over onze Incident Response dienst.
Disclaimer: NFIR heeft er alles aan gedaan om deze informatie accuraat en betrouwbaar te maken. De verstrekte informatie is echter zonder enige garantie van welke aard dan ook en het gebruik ervan is geheel voor risico van de gebruiker. NFIR aanvaardt geen enkele verantwoordelijkheid of aansprakelijkheid voor de juistheid, de inhoud, de volledigheid, de rechtmatigheid of de betrouwbaarheid van de verstrekte informatie.