Bir bulut veri yönetimi ve güvenlik hizmetleri tedarikçisi olan Rubrik, muhtemelen Clop (aka Cl0p) fidye yazılımı operasyonuna atfedilebilen ve daha önce bildirilen bir üçüncü taraf tedarikçinin yönetilen dosya aktarımında (MFT) sıfır gün nedeniyle ortaya çıkan bir veri ihlalini açıkladı. yazılım.
Fortra’nın GoAnywhere MFT ürününde bulunan sorun, ilk olarak Şubat 2023’te Rubrik’e iletildi. Söz konusu sıfır gün, CVE-2023-0669, GoAnywhere’in Lisans Yanıt Sunucu Uygulamasında uzaktan koda yol açan bir ön kimlik doğrulama komut enjeksiyon güvenlik açığıdır. yürütme (RCE).
Güvenlik açığı sürüm 7.1.2’de yamalandı, ancak Clop bunu bilinen 130’dan fazla siber saldırıda kullanmadan önce değil. Çetenin, dosya aktarımı ürün ve hizmetlerindeki sorunlardan yararlanma konusunda özellikle taraflı olduğu biliniyor.
Depolama alanında bir geçmişe sahip olan ve şu anda siber güvenlik dünyasına geçiş yapan birçok teknoloji şirketinden biri olan Rubrik, yaptığı soruşturmanın artık bir saldırganın gerçekten de CVE-2023-0669’u kullanarak sistemlerine eriştiğini belirlediğini söyledi.
Rubrik, Clop’un sistemlerine erişip erişmediğine dair herhangi bir belirti vermedi ve bir fidye yazılımı saldırısının kurbanı olduğunu açıkça belirtmedi. Ancak çete anlaşıldı. Rubrik’i karanlık web sızıntı sitesinde listelemiş olmak ve verileri yayınlamakla tehdit ediyor olabilir.
Rubrik CISO’su Michael Mestrovich şunları söyledi: “GoAnywhere güvenlik açığının bir sonucu olarak, üretim dışı BT test ortamlarımızdan birinde sınırlı miktarda bilgiye yetkisiz erişim tespit ettik.
“Önemli olarak, üçüncü taraf adli tıp uzmanlarının yardımıyla yürütülen mevcut soruşturmamıza göre, yetkisiz erişim, herhangi bir Rubrik ürünü aracılığıyla müşterilerimiz adına güvence altına aldığımız hiçbir veriyi içermiyordu.”
Durum böyle olsa da, adli inceleme, ifşa edilen verilerin dahili satış bilgileri biçimindeki bazı müşterileri ve kanal ortaklarıyla ilgili olduğunu bulmuştur.
“[This] belirli müşteri ve ortak şirket adlarını, ticari iletişim bilgilerini ve Rubrik distribütörlerinden sınırlı sayıda satın alma siparişini içerir” dedi Mestrovich.
“Üçüncü taraf firma, sosyal güvenlik numaraları, finansal hesap numaraları veya ödeme kartı numaraları gibi hiçbir hassas kişisel verinin açığa çıkmadığını da doğruladı.”
Mestrovich, soruşturmanın, saldırganın diğer ortamlara herhangi bir yanal hareket gerçekleştirebildiğine dair hiçbir kanıt bulamadığını da sözlerine ekledi. Üretim dışı ortamın derhal devre dışı bırakıldığını ve tehdidi kontrol altına almak ve ortamı tam çalışır duruma getirmek için Rubrik’in kendi sistemleri ve çözümlerinin kullanıldığını söyledi.
“Bir siber güvenlik şirketi olarak, sakladığımız müşteri verilerinin güvenliği en yüksek önceliğimizdir. Ek, ilgili bilgiler öğrenirsek bu gönderiyi güncelleyeceğiz,” dedi Mestrovich.
“Bunun sizde neden olabileceği herhangi bir endişeden içtenlikle pişmanlık duyuyoruz ve her zaman olduğu gibi, devam eden ortaklığınızı takdir ediyoruz ve birlikte devam eden çalışmalarımızı sabırsızlıkla bekliyoruz.”
Computer Weekly’nin kardeş başlığı TechTarget Security ile paylaşılan e-postayla gönderilen bir açıklamada Fortra, güvenlik açığını gidermek için GoAnywhere’i geçici olarak çevrimdışı duruma getirmek, etkilenen müşterileri bilgilendirmek ve hafifletme kılavuzunu paylaşmak da dahil olmak üzere birçok adım attığını söyledi.
Güvenlik açığı, ABD’nin Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA’nın) Bilinen Yararlı Güvenlik Açıkları kataloğuna da eklendi; bu, ABD federal hükümetinin kurumlarının belirli bir tarihe kadar yama yapmak zorunda olduğu anlamına geliyor.
CISA’nın radarına girmiş olması, güvenlik açığının son derece tehlikeli olduğu anlamına gelir, bu nedenle Fortra GoAnywhere kullanıcılarının düzeltici eyleme öncelik vermesi gerekir.