CVE-2021-22941

Citrix ShareFile

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-25

Официальное описание

Improper Access Control in Citrix ShareFile storage zones controller may allow an unauthenticated attacker to remotely compromise the storage zones controller.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в механизме контроля доступа контроллера зон хранения (Storage Zones Controller) Citrix ShareFile. Неаутентифицированный удаленный злоумышленник может отправить специально сформированный HTTP-запрос к уязвимому компоненту, что может привести к компрометации контроллера и несанкционированному доступу к данным.

Как исправить

Необходимо обновить контроллер зон хранения Citrix ShareFile до исправленной версии.

  • Для версий 5.11.x и ниже: Обновитесь до версии 5.11.24 или новее.
  • Для версий 5.10.x и ниже: Обновитесь до версии 5.10.21 или новее.
  • Для версий 5.9.x и ниже: Обновитесь до версии 5.9.41 или новее.

Процесс обновления (общий порядок): 1. Скачайте установщик исправленной версии с официального портала Citrix. 2. Выполните резервное копирование текущей конфигурации и данных. 3. Запустите установщик на сервере контроллера зон хранения. Процесс обновит существующую установку.

# Пример для Linux-системы. Имя файла может отличаться.
# 1. Сделайте файл исполняемым
chmod +x ShareFileStorageCenter_5.11.24_Upgrade.bin
# 2. Запустите установщик от имени root или с помощью sudo
sudo ./ShareFileStorageCenter_5.11.24_Upgrade.bin

Временное решение

Если немедленное обновление невозможно, ограничьте сетевой доступ к контроллеру зон хранения.

  1. Ограничьте доступ по IP на межсетевом экране (Firewall):

    • Разрешите входящие HTTP/HTTPS-подключения (обычно порты 80 и 443) только с доверенных IP-адресов (например, с серверов ShareFile или из корпоративной сети).
    • Заблокируйте все остальные входящие подключения к этим портам из интернета (0.0.0.0/0).

    ```bash

    Пример для iptables (Linux). Замените TRUSTED_IP на ваш адрес.

    iptables -A INPUT -p tcp --dport 443 -s TRUSTED_IP -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j DROP ```

  2. Настройте правила в WAF (Web Application Firewall):

    • Если используется WAF (например, Citrix ADC, F5, Cloudflare), создайте правило для блокировки подозрительных запросов к пути /storagezone/ или ко всему приложению контроллера зон хранения, исходящих из недоверенных сетей.

  3. Проверьте логи:

    • Временно усильте мониторинг журналов доступа (access logs) контроллера на предмет подозрительных запросов к уязвимым эндпоинтам.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей