Sicherheitsupdate: Citrix ShareFile Storage Zones Controller kann Daten leaken
Das File-Sharing-Tool Storage Zones Controller von Citrix ist über mehrere Sicherheitslücken attackierbar.
(Bild: Artur Szczybylo/Shutterstock.com)
Wer den File-Sharing-Service ShareFile von Citrix n Verbindung mit der Software Storage Zones Controller nutzt, sollte aus Sicherheitsgründen die aktuelle Version installieren. Andernfalls könnte ein Angreifer unter bestimmten Voraussetzungen auf eigentlich abgeschottete Dokumente zugreifen. Eine Einstufung des Angriffsrisikos steht noch aus.
Mit Storage Zones Controller kann man private ShareFile-Speichersubsysteme hosten. Kunden, die auf eine Verwaltung der Speicherzonen durch Citrix setzen, sind nicht bedroht.
Einer Warnmeldung von Citrix zufolge kommt es mit einigen Versionen des Tools zu Fehlern bei der Erstellung von solchen Subsystemen. Davon sind ausschließlich die folgenden und alle vorhergehenden Ausgaben betroffen:
- ShareFile storage zones Controller 5.9.0
- ShareFile storage zones Controller 5.8.0
- ShareFile storage zones Controller 5.7.0
- ShareFile StorageZones Controller 5.6.0
- ShareFile StorageZones Controller 5.5.0
Jetzt handeln!
Abgesichert sind die Versionen 5.5.1, 5.6.1, 5.7.1, 5.8.21, 5.9.1 und 5.10.0. Eine Aktualisierung von Storage Zones Controller repariert aber keine bereits erstellten Speichersubsysteme. Weitere Infos dazu finden Citrix-Kunden im Supportbereich. Mit einem kostenlosen Tool können Admins prüfen, ob ihre Server bedroht sind.
Wie Angreifer die Sicherheitslücken (CVE-2020-7473, CVE-2020-8982, CVE-2020-8983) ausnutzen können, geht aus der Warnung von Citrix nicht hervor. Der Softwarehersteller spricht nur davon, dass Angreifer für eine erfolgreiche Attacke nicht authentifiziert sein müssen.
Der Sicherheitsforscher Nate Warfield von Microsoft stieß über die Suchmaschine Shodan eigenen Angaben zufolge auf 2800 öffentlich erreichbare ShareFile-Storage-Server. 192 sollen sich in Deutschland befinden. (des)
