Cobalt Strike’ın arkasındaki şirket olan Fortra, hassas verileri çalmak için fidye yazılımı aktörleri tarafından aktif olarak sömürülen GoAnywhere MFT aracındaki sıfır günlük uzaktan kod yürütme (RCE) güvenlik açığına ışık tuttu.
CVE-2023-0669 (CVSS puanı: 7.2) olarak izlenen yüksek önem dereceli kusur, kod yürütmeyi gerçekleştirmek için kötüye kullanılabilecek, kimliği önceden doğrulanmış bir komut enjeksiyonu durumuyla ilgilidir. Sorun, şirket tarafından yazılımın 7.1.2 sürümünde Şubat 2023’te yamalandı, ancak 18 Ocak’tan bu yana sıfır gün olarak silah haline getirilmeden önce değil.
Palo Alto Ağları Birimi 42 ile çalışan Fortra, 30 Ocak 2023’te bazı dosya aktarım örnekleriyle ilişkili şüpheli etkinlikten haberdar edildiğini söyledi.
Şirket, “Yetkisiz taraf, bazı MFTaaS müşteri ortamlarında yetkisiz kullanıcı hesapları oluşturmak için CVE-2023-0669’u kullandı” dedi. “Bu müşterilerin bir alt kümesi için, yetkisiz taraf, barındırılan MFTaaS ortamlarından dosya indirmek için bu kullanıcı hesaplarından yararlandı.”
Tehdit aktörü, 28 Ocak 2023 ile 31 Ocak 2023 tarihleri arasında “Netcat” ve “Errors.jsp” adlı iki ek aracı dağıtmak için kusuru daha da kötüye kullandı, ancak her yükleme girişiminin başarılı olduğu söylenmiyor.
Fortra, etkilenen müşterilere doğrudan ulaştığını ve “temiz ve güvenli bir MFTaaS ortamı” olarak yeniden sağlanan müşteri sistemlerine herhangi bir yetkisiz erişim belirtisi bulmadığını söyledi.
Netcat, bir ağ üzerinden veri okuma ve yazma yönetimi için meşru bir program olsa da, şu anda JSP dosyasının saldırılarda nasıl kullanıldığı bilinmiyor.
Soruşturma ayrıca, CVE-2023-0669’un, GoAnywhere MFT çözümünün belirli bir yapılandırmasını çalıştıran az sayıda şirket içi uygulamada istismar edildiğini ortaya çıkardı.
Öneri olarak şirket, kullanıcılara Ana Şifreleme Anahtarını döndürmelerini, tüm kimlik bilgilerini sıfırlamalarını, denetim günlüklerini incelemelerini ve şüpheli yönetici veya kullanıcı hesaplarını silmelerini öneriyor.
Gelişme, Malwarebytes ve NCC Group’un Mart ayı boyunca büyük ölçüde GoAnywhere MFT güvenlik açığının aktif olarak kullanılmasından kaynaklanan fidye yazılımı saldırılarında ani bir artış bildirmesiyle geldi.
Yalnızca geçen ay toplam 459 saldırı kaydedildi; Şubat 2023’e göre %91 artış ve Mart 2022’ye kıyasla %62 artış.
Aldatarak Savun: Sıfır Güven Güvenliğini Geliştirme
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Koltuğumu Kurtar!
NCC Group, “Hizmet olarak fidye yazılımı (RaaS) sağlayıcısı Cl0p, GoAnywhere güvenlik açığından başarıyla yararlandı ve toplamda 129 kurbanla gözlemlenen en aktif tehdit aktörü oldu” dedi.
Cl0p’nin istismar çılgınlığı, LockBit’in Eylül 2021’den bu yana ikinci kez en üst sıralarda yer almasına işaret ediyor. Diğer yaygın fidye yazılımı türleri arasında Royal, BlackCat, Play, Black Basta ve BianLian yer alıyor.
Cl0p aktörlerinin daha önce 2021’de birkaç hedefi ihlal etmek için Accellion Dosya Aktarım Aracındaki (FTA) sıfır gün kusurlarından yararlandığını belirtmekte fayda var.