SchwachstellenHackerangriffeCloud-Sicherheit

Kritische ShareFile-Lücken ermöglichen Fernzugriff ohne Authentifizierung

Kritische ShareFile-Lücken ermöglichen Fernzugriff ohne Authentifizierung
Zusammenfassung

Die Collaboration-Plattform ShareFile von Citrix ist Ziel kritischer Sicherheitslücken geworden, die es Angreifern ermöglichen, ohne Authentifizierung in Systeme einzudringen und beliebige Code auszuführen. Das Sicherheitsunternehmen WatchTowr hat zwei kritische Schwachstellen entdeckt, die miteinander verkettet werden können: eine Umleitung-nach-Ausführung-Schwachstelle (CVE-2026-2699) mit einem CVSS-Score von 9,8 und eine beliebige Datei-Upload-Schwachstelle (CVE-2026-2701) mit einem Score von 9,1. Durch die erste Lücke können Angreifer auf geschützte Administrations-Seiten zugreifen und Storage-Zone-Konfigurationen ändern. Dies ermöglicht es ihnen, Speicher-Repositories umzuleiten oder zu kontrollieren und letztendlich Web-Shells hochzuladen, um vollständige Kontrolle über betroffene Systeme zu erlangen. Für deutsche Unternehmen und Behörden, die ShareFile für sensible Dateienverwaltung nutzen, stellt dies eine erhebliche Bedrohung dar. Betroffen sind Versionen bis 5.12.4; Version 6.x ist nicht anfällig. Citrix hat Patches bereitgestellt. Organisationen sollten dringend ein Update durchführen, um Datenverluste, Datenmanipulation und Insider-Angriffe zu verhindern.

Die Sicherheitsforschenden von WatchTowr haben zwei kritische Sicherheitslücken in Citrix ShareFile aufgedeckt, die eine vollständige Kompromittierung des Systems ermöglichen. Die erste Schwachstelle, als CVE-2026-2699 eingestuft mit einem CVSS-Score von 9,8, ermöglicht unauthentifizierten Angreifern, auf administrative Konfigurationsseiten zuzugreifen, die normalerweise geschützt sein sollten.

Die Lücke ist ein sogenanntes “Execution After Redirect”-Problem (EAR). WatchTowr gelang es, diese Schwachstelle auszunutzen, indem ein Admin-Endpunkt im Browser aufgerufen wurde. Obwohl der Browser zu einer Login-Seite umleitet, die nur vom lokalen Host erreichbar sein sollte, enthielt der HTTP-Response-Header mehr Informationen als erwartet. Durch Manipulation des HTTP-Response und das Entfernen des Location-Headers konnten die Sicherheitsforscher auf die Administrationsoberfläche für Storage-Zone-Konfigurationen zugreifen.

Hierüber war es möglich, eine Zone mit einem lokalen Netzwerk zu verbinden, verschiedene Zone-Parameter einschließlich der ShareFile-Passphrase zu ändern und einen Victim-Storage-Zone-Controller zu zwingen, sich einer kontrollierten bösartigen Zone anzuschließen — alles ohne Authentifizierung. Ein besonders gefährlicher Aspekt: Angreifer könnten das Speicher-Repository so umkonfigurieren, dass es auf einen von ihnen kontrollierten AWS-S3-Bucket verweist. Dies würde zur Exfiltration sensibler Dateien führen.

Die zweite kritische Lücke (CVE-2026-2701, CVSS 9,1) ist ein willkürliches Datei-Upload-Problem. Durch die Verkettung beider Schwachstellen gelang es WatchTowr, unauthentifizierten Remote-Code-Zugriff auf eine verwundbare ShareFile-Instanz zu erlangen. Die Forscher konnten Web-Shells in potentiell gefährliche Verzeichnisse — wie das Webroot-Verzeichnis der Anwendung — hochladen und damit die volle Kontrolle über das System übernehmen.

Citrix wurde über die Lücken bereits im Februar informiert und hat diese in Version 5.12.4 behoben. ShareFile-Versionen aus der 6.x-Serie sind nicht betroffen. Unternehmen sollten sich unverzüglich prüfen, welche Version sie einsetzen, und erforderlichenfalls sofort aktualisieren. Insbesondere Organisationen mit kritischen oder sensiblen Daten sollten diese Aktualisierung mit höchster Priorität durchführen.

Ähnliche Artikel