A Tenable Research descobriu uma vulnerabilidade atual no Citrix – especificamente no Citrix ShareFile. Se esta vulnerabilidade for explorada, um invasor poderá roubar credenciais ou tokens, executar código no contexto do navegador da vítima ou realizar diversas outras ações maliciosas.
Apesar das possíveis consequências da vulnerabilidade, a Citrix optou por não divulgar nenhuma informação sobre esse problema ou notificar os clientes após o problema ter sido corrigido. Os clientes dependem totalmente dos provedores de nuvem para corrigir os problemas relatados e devem ter fé cega de que as vulnerabilidades foram corrigidas com a devida diligência.
Com esta falta de transparência, os fornecedores de software estão a prestar um mau serviço aos seus clientes, deixando-os no escuro sobre os riscos que enfrentam antes do lançamento dos patches. A prática de patches silenciosos por parte dos provedores de serviços de nuvem complica a avaliação de riscos e cria novos desafios para as equipes de segurança compreenderem os riscos de seus ambientes de nuvem. Mesmo após o lançamento de um patch, os clientes potencialmente afetados podem não estar cientes da ocorrência de atividades maliciosas.
Grupos de ransomware, como CL0P, têm como alvo aplicativos de transferência de arquivos, como GoAnywhere Managed File Transfer (MFT) da Fortra e MOVEit Transfer MFT da Progress Software. Portanto, proteger essas soluções e identificar potenciais vetores de ataque são essenciais para o sucesso, a fim de permanecer à frente de invasores oportunistas.
Mais em Tenable.com
Sobre a Tenable A Tenable é uma empresa de Cyber Exposure. Mais de 24.000 empresas em todo o mundo confiam na Tenable para entender e reduzir o risco cibernético. Os inventores do Nessus combinaram sua experiência em vulnerabilidade no Tenable.io, oferecendo a primeira plataforma do setor que fornece visibilidade em tempo real e protege qualquer ativo em qualquer plataforma de computação. A base de clientes da Tenable inclui 53% da Fortune 500, 29% da Global 2000 e grandes agências governamentais.