Fortra, Goanywhere MFT çözümünde, klop fidye yazılımı çetesinin yüzün üzerinde şirketten veri çalmak için sömürdüğü sıfır günlük bir kusur olan CVE-2023-0669'un sömürülmesi hakkındaki soruşturmasını tamamladı.
Kritik Goanywhere uzaktan kod yürütme kusuru, Fortra'nın 3 Şubat 2023'te müşterileri bilgilendirmesinden sonra herkese açık olarak bilindi.
Yakında 6 Şubat 2023'te çalışan bir istismar yayınlandı ve diğer tehdit aktörlerinin bundan yararlanma olasılığını artırdı. Fortra, bir gün sonra sıfır gün güvenlik açığı için güvenlik güncellemesini yayınladı ve tüm müşterileri yüklemeye çağırdı.
10 Şubat 2023'te Clop Fidye yazılımı çetesi, BleepingComputer'a Goanywhere MFT'deki hatadan yararlanarak 130 şirket için verileri çalmayı başardığını söyledi.
BleepingComputer'ın bildirilen saldırılar ve gasp denemeleri hakkında Fortra ile iletişim kurma konusunda çok sayıda denemeye rağmen, yazılım satıcısı yanıt vermedi.
Şimdi, sıfır günün ilk açıklanmasından neredeyse 1,5 ay sonra Fortra, olanların ayrıntılı bir zaman çizelgesini paylaştı.
Fortra’nın duyurusuna göre, şirket 30 Ocak 2023'te bazı Goanywhere MFTAAS örneklerindeki şüpheli etkinliklerden haberdar oldu ve daha fazla araştırmak için bulut hizmetini hızla indirdi.
Soruşturma, bir tehdit aktörünün 28 Ocak ve 30 Ocak 2023 arasında bazı müşteri ortamlarında kullanıcı hesapları oluşturmak için o zamanki bilinmeyen güvenlik açığından yararlandığını ortaya koydu.
Daha sonra, davetsiz misafir bu hesapları MFT ortamından dosyaları indirmek için kullandı. Fortra, veri ihlali geçiren müşterilerin alt kümesiyle iletişime öncelik verdiğini söylüyor.
Ayrıca, tehdit aktörleri yeni hesaplarını bazı müşteri ortamlarına ek araçlar kurmak için kullandılar.
“Soruşturma sırasında, 28 Ocak 2023 ve 31 Ocak 2023 arasındaki bazı MFTAAS müşteri ortamlarında iki adede kadar ek araç -“ Netcat ”ve“ Errors.jsp ”yüklemek için yetkisiz tarafın CVE -2023-0669 kullandığını keşfettik. , ”Diye açıklıyor Fortra.
“Saldırıda kullanılan araçları belirlediğimizde, çevrelerinde bu araçlardan herhangi biri keşfedildiyse, her müşteriyle doğrudan iletişim kurduk.”
Netcat, tehdit aktörlerinin tipik olarak geri çekilmeleri, port taraması yapmak veya tehlikeye atılan sistem ve sunucuları arasında dosyaları aktarmak için kullandıkları çok yönlü bir ağ yardımcı programıdır.
Errors.jsp, dinamik web sayfaları oluşturmak için kullanılan bir Javaserver sayfası (JSP) dosyasıdır. Fortra, saldırganların dosyayı nasıl kullandığını açıklamıyor. Bununla birlikte, saldırgana komutlar yürütmek, veri çalmak veya çevreye erişimi sürdürmek için ihlal edilen sistemde web tabanlı bir arka kapı sağlamak için tasarlanmış olması mümkündür.
Soruşturma devam ettikçe Fortra, Goanywhere MFT'nin belirli bir konfigürasyonunu yürüten şirket içi müşterilere karşı aynı kusurun kaldırıldığını keşfetti ve ilk sömürü belirtilerini 18 Ocak 2023'e taşıyordu.
Bu, CVE-2023-0669'un, yazılım satıcısının güvenlik ihlalini gerçekleştirmesinden yaklaşık iki hafta önce, sınırlı bir sömürü de olsa aktif olduğu anlamına gelir.
Fortra, bu saldırılardan doğrudan etkilendikleri ve Goanywhere MFT'lerini güvenli bir şekilde yapılandırmaya yönelik tüm müşterilere yardımcı olduğunu ve yönlendirdiğini söylüyor.
Bununla birlikte, son duyuruda hafifletmeler ve öneriler listeledi ve müşterileri henüz yapmadıkları takdirde aşağıdaki işlemleri gerçekleştirmeye çağırdı:
Ayrıca, maruz kalan Goanywhere MFT örnekleri, çevredeki diğer sistemlerin kullanıcılarının kimlik bilgilerini barındırdıysa, sonraki ihlalleri veya yanal ağ hareketini önlemek için bunlar iptal edilmelidir.
Clop fidye yazılımı Saks Fifth Avenue, perakendeci, Mock Verilerinin Çalındığını Söyledi
Hitachi Energy, Clop Goany Where saldırılarından sonra veri ihlalini teyit ediyor
Hatch Bank, Goany Where Mft Hack'ten sonra veri ihlalini açıklar
Crown Resorts, Goanywhere Breach'den sonra fidye talebini onaylıyor
Sağlık Hizmetleri Dev CHS, Goanywhere Hacks'de İlk Veri İhlallerini Raporlar
Kaynak: Bleeping Computer