Fortra, Clop fidye yazılımı çetesinin yüzden fazla şirketten veri çalmak için yararlandığı GoAnywhere MFT çözümündeki sıfır günlük bir kusur olan CVE-2023-0669’un kötüye kullanılmasına ilişkin araştırmasını tamamladı.
Kritik GoAnywhere uzaktan kod yürütme kusuru, Fortra’nın 3 Şubat 2023’te müşterilere bildirmesinden sonra herkes tarafından biliniyordu.
Kısa bir süre sonra 6 Şubat 2023’te çalışan bir istismar yayınlandı ve bu, diğer tehdit aktörlerinin bundan faydalanma olasılığını artırdı. Fortra, sıfır gün güvenlik açığı için güvenlik güncellemesini bir gün sonra yayınlayarak tüm müşterilerini güncellemeyi yüklemeye çağırdı.
10 Şubat 2023’te Clop fidye yazılımı çetesi, BleepingComputer’a GoAnywhere MFT’deki açıktan yararlanarak 130 şirketin verilerini çalmayı başardığını söyledi.
Bildirilen saldırılar ve gasp girişimleri hakkında BleepingComputer tarafından Fortra ile bağlantı kurmak için yapılan sayısız girişime rağmen, yazılım satıcısı yanıt vermedi.
Şimdi, sıfır günün ilk açıklamasından yaklaşık 1,5 ay sonra, Fortra neler olduğuna dair ayrıntılı bir zaman çizelgesi paylaştı.
18 Ocak 2023’ten beri ihlal edildi
Fortra’nın duyurusuna göre şirket, 30 Ocak 2023’te belirli GoAnywhere MFTaaS bulut sunucularında şüpheli etkinlik fark etti ve daha fazla araştırma yapmak için hızla bulut hizmetini devre dışı bıraktı.
Araştırma, bir tehdit aktörünün, bazı müşteri ortamlarında kullanıcı hesapları oluşturmak için 28 Ocak ile 30 Ocak 2023 tarihleri arasında o zamanlar bilinmeyen güvenlik açığından yararlandığını ortaya çıkardı.
Daha sonra davetsiz misafir bu hesapları MFT ortamından dosya indirmek için kullandı. Fortra, veri ihlaline maruz kalan müşteri alt kümesiyle iletişime öncelik verdiğini söylüyor.
Ek olarak, tehdit aktörleri yeni hesaplarını bazı müşteri ortamlarına ek araçlar yüklemek için kullandı.
“Soruşturma sırasında, yetkisiz tarafın 28 Ocak 2023 ile 31 Ocak 2023 tarihleri arasında bazı MFTaaS müşteri ortamlarına iki adede kadar ek araç – “Netcat” ve “Errors.jsp” – yüklemek için CVE-2023-0669 kullandığını keşfettik. ”diye açıklıyor Fortra.
“Saldırıda kullanılan araçları belirlediğimizde, bu araçlardan herhangi biri kendi ortamlarında keşfedilirse her müşteriyle doğrudan iletişim kurduk.”
Netcat, tehdit aktörlerinin genellikle arka kapılar oluşturmak, port taraması yapmak veya güvenliği ihlal edilmiş sistem ile sunucuları arasında dosya aktarmak için kullandıkları çok yönlü bir ağ oluşturma aracıdır.
Errors.jsp, dinamik web sayfaları oluşturmak için kullanılan bir JavaServer Pages (JSP) dosyasıdır. Fortra, saldırganların dosyayı nasıl kullandıklarını açıklamıyor. Ancak, saldırgana ihlal edilen sistemde komutları yürütmek, veri çalmak veya ortama erişimi sürdürmek için web tabanlı bir arka kapı sağlamak üzere tasarlanmış olması da mümkündür.
Soruşturma devam ederken Fortra, aynı kusurun GoAnywhere MFT’nin belirli bir yapılandırmasını çalıştıran şirket içi müşterilere karşı kullanıldığını keşfetti ve istismarın ilk belirtilerini 18 Ocak 2023’e taşıdı.
Bu, CVE-2023-0669’un, yazılım satıcısının güvenlik ihlalini fark etmesinden önce yaklaşık iki hafta boyunca, bildirildiğine göre sınırlı kullanımda olduğu anlamına gelir.
öneriler
Fortra, bulut sunucularının güvenliğini sağlama ve GoAnywhere MFT’lerini güvenli bir şekilde yapılandırma konusunda bu saldırılardan doğrudan etkilenen tüm müşterilere yardımcı olduğunu ve rehberlik ettiğini söylüyor.
Ancak, en son duyurusunda hafifletici önlemler ve tavsiyeler listeleyerek müşterileri henüz yapmamışlarsa aşağıdaki işlemleri yapmaya teşvik ediyor:
- Ana Şifreleme Anahtarınızı döndürün.
- Tüm harici ticaret ortakları/sistemleri dahil olmak üzere tüm kimlik bilgilerini – anahtarları ve/veya parolaları – sıfırlayın.
- Denetim günlüklerini inceleyin ve tüm şüpheli yönetici ve/veya web kullanıcı hesaplarını silin.
Ek olarak, açığa çıkan GoAnywhere MFT örnekleri, ortamdaki diğer sistemlerin kullanıcılarının kimlik bilgilerini barındırıyorsa, sonraki ihlalleri veya yanal ağ hareketini önlemek için bunlar iptal edilmelidir.