Clop fidye yazılımı çetesi, yönetilen dosya aktarım yazılımının yönetim arayüzündeki bir güvenlik açığından yararlanarak birkaç GoAnywhere MFT müşterisine saldırmanın sorumluluğunu üstlendi.
BleepingComputer tarafından toplanan bilgilere göre, Clop fidye yazılımı grubu, Fortra GoAnywhere MFT güvenli dosya paylaşım çözümündeki bir güvenlik açığına bağlı fidye yazılımı saldırılarının sorumluluğunu üstlendi.
8 Şubat’ta bildirdiğimiz gibi Fortra, GoAnywhere MFT yönetici konsolunda bulunan ve aktif olarak yararlanılan bir sıfır gün güvenlik açığı için bir acil durum yaması (7.1.2) yayınladı.
Yönetilen dosya aktarımı anlamına gelen GoAnywhere MFT, işletmelerin dosyaları güvenli ve uyumlu bir şekilde yönetmesine ve değiş tokuş etmesine olanak tanır. Web sitesine göre, ağırlıklı olarak 10.000’den fazla çalışanı ve 1 milyar ABD doları geliri olan 3.000’den fazla kuruluşa hitap ediyor.
Bu kuruluşlardan bazıları yerel yönetimler, finans şirketleri, sağlık kuruluşları, enerji firmaları ve teknoloji üreticileri gibi hayati altyapı olarak kabul edilir.
GoAnywhere yamasının yayınlanmasının ertesi günü, Clop fidye yazılımı çetesi BleepingComputer ile temasa geçti ve kusuru on gün boyunca 130 şirketten veri çalmak için kullandıklarını söyledi. O zamanlar bu iddiayı doğrulamak imkansızdı, ancak daha önceki iki kurban olan Community Health Systems (CHS) ve Hatch Bank, GoAnywhere MFT saldırılarında verilerin çalındığını ifşa ettikten sonra, Clop sızıntı sitesi şimdi yedi yeni şirket gösteriyor. En az ikisinin GoAnywhere MFT güvenlik açığı kullanılarak ihlal edildiği bildirildi.
Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) veritabanı, kamuya açıklanmış bilgisayar güvenlik açıklarını listeler. İstismar edilen güvenlik açığının CVE’si CVE-2023-0669’dur ve rastgele bir saldırgan tarafından kontrol edilen nesnenin seri durumundan çıkarılması nedeniyle Lisans Yanıt Sunucu Uygulamasında ön kimlik doğrulama komut enjeksiyonu güvenlik açığı olarak tanımlanır.
Bu kurbanların, güvenlik açığı için herhangi bir yama bulunmadığı sırada mı yoksa daha sonra mı hedef alındığı bilinmiyor. Son taramalar, yaklaşık 1.000 yönetim konsolunun genel olarak internete açık olduğunu gösterdi. Normalde halka açık internetten erişilebilen Web İstemcisi arabirimi, bu açıktan yararlanmaya açık değildir, yalnızca yönetim arabirimi açıktır.
Azaltma
GoAnywhere MFT yönetim portalınız İnternet’e açıksa, güvenlik düzeltme ekini şu adresten indirmeniz için acil tavsiye alırsınız: Ürün İndirmeleri Oturum açtıktan sonra göreceğiniz GoAnywhere hesap sayfasının üst kısmındaki sekme.
Herhangi bir nedenle yamayı yükleyemezseniz, Fortra, yönetici konsolu arayüzüne yalnızca güvenilir kaynaklardan erişilmesi gereken bazı erişim kontrollerinin uygulanmasını veya lisanslama hizmetinin tamamen devre dışı bırakılmasını içeren, ortaya koyduğu hafifletme adımlarını izlemeniz gerektiğini söylüyor. Danışma belgesinde paylaşılan ve yalnızca oturum açtıktan sonra görülebilen (ilgileniyorsanız ücretsiz bir hesapla yapılabilir) bir teknik hafifletme yapılandırması da vardır.
GoAnywhere MFT’nin kurulu olduğu dosya sisteminde dosyayı düzenleyin [install_dir]/adminroot/WEB_INF/web.xml
Aşağıdaki ekran görüntüsünde aşağıdaki servlet ve servlet-mapping yapılandırmasını bulun ve kaldırın (silin veya yorum yapın).
Önce:
Lisans Yanıt Sunucu Uygulaması
com.linoma.ga.ui.admin.servlet.LicenseResponseServlet
0
Lisans Yanıt Sunucu Uygulaması
/lic/kabul et/
Sonrasında:
GoAnywhere MFT uygulamasını yeniden başlatın
GoAnywhere MFT kümelenmişse bu değişikliğin kümedeki her örnek düğümünde gerçekleşmesi gerekir.
Sorularınız varsa, destek ekibimiz yardım etmek için burada. Yardım için lütfen https://my.goanywhere.com/ portalı, [email protected] adresine e-posta veya 402-944-4242 numaralı telefon aracılığıyla Destek ile iletişime geçin. “
Fidye yazılımından nasıl kaçınılır?
- Yaygın giriş biçimlerini engelleyin. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde yamalamak için bir plan oluşturun; RDP ve VPN’ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin; fidye yazılımı dağıtmak için kullanılan açıkları ve kötü amaçlı yazılımları tespit edebilen uç nokta güvenlik yazılımı kullanın.
- İzinsiz girişleri algıla. Ağları bölümlere ayırarak ve ihtiyatlı bir şekilde erişim hakları atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı gerçekleşmeden önce olağandışı etkinliği algılamak için EDR veya MDR’yi kullanın.
- Kötü amaçlı şifrelemeyi durdurun. Fidye yazılımını belirlemek için birden fazla farklı algılama tekniği ve hasarlı sistem dosyalarını geri yüklemek için fidye yazılımı geri dönüşü kullanan Malwarebytes EDR gibi Uç Nokta Tespiti ve Yanıtı yazılımını dağıtın.
- Tesis dışı, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri, saldırganların erişemeyeceği bir yerde, tesis dışında ve çevrimdışı tutun. Temel iş işlevlerini hızlı bir şekilde geri yükleyebildiğinizden emin olmak için bunları düzenli olarak test edin.
- İki kez saldırıya uğrama. Salgını izole ettikten ve ilk saldırıyı durdurduktan sonra, tekrar saldırıya uğramamak için saldırganların tüm izlerini, kötü amaçlı yazılımlarını, araçlarını ve giriş yöntemlerini kaldırmalısınız.
Malwarebytes, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmasını önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme edinin.
ŞİMDİ DENE