Fortra, Ocak ve Şubat aylarında son kullanıcı verilerini tehlikeye atan GoAnywhere hack’inin otopsisini yayınladı.
Veri ihlalinden etkilenen Avustralyalı kuruluşlar arasında Tazmanya’nın eğitim departmanı, Rio Tinto ve Crown Resorts yer alıyor.
Şirket, saldırının sıfır gün güvenlik açığı CVE-2023-0669 kullandığını ve bunun “saldırgan tarafından kontrol edilen keyfi bir nesnenin seri durumundan çıkarılması nedeniyle bir ön kimlik doğrulama komut enjeksiyon güvenlik açığı” olduğunu söyledi.
Fortra, ilk olarak 30 Ocak 2023’te şüpheli etkinlik gözlemledi, ancak daha sonra yapılan soruşturmada, web’e yönelik GoAnywhere yönetici arabirimlerine sahip şirket içi müşterilerin 18 Ocak gibi erken bir tarihte ihlal edildiğini tespit etti.
Fortra analizinde şunları söyledi: “İlk araştırmamız, yetkisiz tarafın bazı MFTaaS müşteri ortamlarında yetkisiz kullanıcı hesapları oluşturmak için CVE-2023-0669’u kullandığını ortaya çıkardı.
“Bu müşterilerin bir alt kümesi için, yetkisiz taraf, barındırılan MFTaaS ortamlarından dosya indirmek için bu kullanıcı hesaplarından yararlandı.”
Saldırganlar ayrıca bazı kurbanların sistemlerine Netcat yardımcı programı ve Errors.jsp olmak üzere iki ek araç yükledi.
Şirket, bu araçların bulunduğu yerde, bunları kaldırmak için müşterilerle birlikte çalıştığını söyledi.
Şirket, iyileştirmenin ardından müşterilerin ana şifreleme anahtarlarını döndürmesi gerektiğini söyledi; ortaklar dahil olmak üzere tüm kimlik bilgilerini sıfırlayın; denetim günlüklerini gözden geçirin; ve “şüpheli yönetici ve/veya web kullanıcı hesaplarını” silin.
Şirket, bir müşteri, örneğinde başka herhangi bir sistem için kimlik bilgileri depoladıysa, bu kimlik bilgilerinin de iptal edilmesi gerektiğini söyledi.