3. Taraf Risk Yönetimi , Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi
Fortra, GoAnywhere MFT Saldırısından Bulguları Açıklıyor
Prajeet Nair (@prajeetspeaks) •
20 Nisan 2023
Şirket, Fortra’nın GoAnywhere dosya aktarım yazılımındaki sıfır günü, Rusça konuşan şantaj grubu Clop için fidye yazılımı saldırılarına dönüştüren bilgisayar korsanlarının şirketin yazılımına ilk olarak Ocak ayında sızdığını söylüyor.
Ayrıca bakınız: Ateşkes! Çeviklik ve Güvenlik, Bulut Güvenliğinde “Birlikte Daha İyi” Çalışan Ortaklık Buluyor
100’den fazla kuruluş, şirketin 1 Şubat’ta ifşa ettiği bir lisans sunucu uygulamacığındaki kimlik doğrulama öncesi komut enjeksiyon güvenlik açığı olan hatanın etkilerini hissetti. Clop, şu anda yamalanmış 50’den fazla GoAnywhere sıfır gün saldırısının sorumluluğunu üstlendi. CVE 2023-0669 (bkz: Clop GoAnywhere Saldırıları Şu Anda 130 Kuruluşa Ulaştı).
Olayla ilgili soruşturmasının Pazartesi özetinde Fortra, GoAnywhere’in belirli örneklerinde ilk olarak 30 Ocak’ta şüpheli etkinlik tespit ettiğini söylüyor.
Palo Alto Unit 42 ile yürütülen soruşturma, bilgisayar korsanlarının dosya aktarım yazılımının bazı şirket içi örneklerini 18 Ocak gibi erken bir tarihte istismar ettiğini ortaya çıkardı. Fortra, şirket içi örnekler için altyapıyı yönetmediğini ancak destek sağladığını söylüyor. uzlaşma göstergeleri.
Bilgisayar korsanları, erişimlerini bazı müşteri ağlarında yetkisiz kullanıcı hesapları oluşturmak için kullandı. Ayrıca 28 Ocak ile 31 Ocak arasında bazı müşteri ortamlarına iki ek araç, Netcat ve Errors.jsp yüklediler. Her yükleme denemesi başarılı olmadı. Netcat, genellikle ağ trafiğini izlemek için kullanılan bir yardımcı programdır. Errors.jsp, dinamik web sayfaları oluşturmak için kullanılan bir JavaServer Sayfasıdır.
Şirket, “Saldırıda kullanılan araçları belirlediğimizde, ortamlarında bu araçlardan herhangi biri keşfedilirse her müşteriyle doğrudan iletişim kurduk. Temiz ve güvenli bir MFTaaS ortamı sağladık ve hafifletme önlemlerini uygulamak için her bir MFTaaS müşterisiyle birlikte çalıştık.” dedi, bir hizmet olarak yönetilen dosya aktarımına atıfta bulundu.
Fortra, istismarın genellikle açık internette ifşa edilmemesi gereken GoAnywhere yönetim konsoluna erişim gerektirdiğini söyledi. Fortra, müşterilerin bir azınlığının bunu ifşa ettiğini söyledi.