Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Citrix ShareFile waarvoor afgelopen september een beveiligingsupdate verscheen. Dat meldt securitybedrijf CrowdStrike op basis van eigen bevindingen. Citrix ShareFile is een oplossing voor het synchroniseren en delen van bestanden.

Vorig jaar werd er een path traversal-kwetsbaarheid in de oplossing ontdekt waardoor een ongeauthenticeerde gebruiker een bestand op een aangevallen server kan overschrijven en zo op afstand code kan uitvoeren. De impact van het beveiligingslek, aangeduid als CVE-2021-22941, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

Volgens CrowdStrike maakt een groep criminelen genaamd "Prophet Spider" misbruik van de kwetsbaarheid in Citrix ShareFile om Microsoft Internet Information Services (IIS) webservers te compromitteren. Via het lek werd een webshell geïnstalleerd waarmee verdere aanvallen zijn uit te voeren. Het uiteindelijke doel van de waargenomen aanval is onbekend. De groep in kwestie zou het in verleden toegang tot systemen hebben verkocht, die vervolgens met ransomware werden besmet.

De Amerikaanse overheid houdt een lijst van actief aangevallen kwetsbaarheden bij die inmiddels bijna vijfhonderd beveiligingslekken telt, maar het lek in Citrix ShareFile ontbreekt hierop.