CVE-2023-24489

Citrix Content Collaboration

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2023-08-16

Официальное описание

Citrix Content Collaboration contains an improper access control vulnerability that could allow an unauthenticated attacker to remotely compromise customer-managed ShareFile storage zones controllers.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-24489 представляет собой критическую уязвимость (CVSS 9.8) в контроллере зон хранения ShareFile (Storage Zones Controller), управляемом клиентом. Проблема связана с некорректной проверкой доступа (Improper Access Control) при обработке криптографических операций.

Из-за ошибок в реализации шифрования AES с использованием режима CBC (Cipher Block Chaining) и недостаточной валидации параметров, неавторизованный злоумышленник может обойти механизмы аутентификации. Это позволяет удаленно загружать произвольные файлы и выполнять произвольный код (RCE) в контексте учетной записи сетевой службы (Network Service) на сервере контроллера.

Как исправить

Основным способом устранения уязвимости является обновление программного обеспечения Storage Zones Controller до актуальной защищенной версии.

  1. Скачайте обновленный дистрибутив с официального портала Citrix (требуется авторизация).
  2. Установите версию 5.11.24 или выше.

Процесс обновления:

Start-Process -FilePath "ShareFileStorageZonesControllerSetup.exe" -ArgumentList "/quiet" -Wait
  1. После установки убедитесь, что версия контроллера обновилась в панели управления или через PowerShell:
Get-WmiObject -Class Win32_Product | Where-Object {$_.Name -like "*Storage Zones Controller*"} | Select-Object Version

Временные меры

Если немедленное обновление невозможно, необходимо ограничить векторы атаки на сетевом уровне и уровне веб-сервера.

  1. Ограничьте доступ к эндпоинтам контроллера зон хранения, разрешив входящие соединения только с доверенных IP-адресов (например, только из подсетей Citrix Cloud, если используется гибридная схема).

  2. Настройте блокировку подозрительных запросов на Web Application Firewall (WAF). Блокируйте запросы к специфическим путям, используемым для эксплуатации, если они содержат аномальные параметры шифрования в Query String:

/ConfigService/
/RemoteConfigService.asmx

  1. Изолируйте сервер Storage Zones Controller в отдельном сегменте сети (DMZ) и минимизируйте его привилегии в домене Active Directory.

  2. Проверьте логи IIS на наличие необычных POST-запросов к /Upload.aspx или обращений к /ConfigService/ от неавторизованных внешних IP-адресов.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей