GoAnywhere adlı yaygın olarak kullanılan bir dosya aktarım hizmetindeki bir güvenlik açığı, Clop fidye yazılımı grubunun yaklaşık 130 kuruluşu ihlal etmesine izin verdi. Haftalar sonra, genişleyen saldırıyla ilgili ayrıntılar hala ortaya çıkıyor.
Şimdiye kadar, bu ayrıntılar GoAnywhere ana şirketi Fortra’dan gelmiyordu. Kamuya açık veri ihlali açıklamalarıyla manşetlere çıkan kurban kuruluş oldu. Şimdiye kadar CVE-2023-0669 kapsamında izlenen GoAnywhere MFT uzaktan kod yürütme güvenlik açığı yoluyla ihlal edildiğini açıklayan GoAnywhere müşterileri şunları içerir: Toplum Sağlığı Sistemleri, Ambar Bankasısiber güvenlik şirketi değerlendirme listesi, Hitachi Enerjive Toronto Şehri, toplandığında milyonlarca insanın özel verilerinin en kötü siber suç unsurlarına maruz kaldığını temsil eder.
Clop siber suçluları, kampanyalarının ayrıntılarını vermeye istekliydiler ve sızıntı sitelerinde, açıktan yararlanmayı 10 gün boyunca 130’dan fazla şirkete sızmak için kullandıklarını iddia ettiler. raporlar.
Forta, sürekli ifşaat akışı konusunda alenen sessizliğini korudu. Ancak bugün, Dark Reading’e, müşterilerinin şirket için bir iletişim ve siber güvenlik krizine dönüşen krizde gezinmelerine yardımcı olmaya kararlı olduğuna dair güvence veren bir açıklama yaptı.
Fortra, Dark Reading’e yaptığı açıklamada, “30 Ocak 2023’te, GoAnywhere MFTaaS çözümümüzün belirli örneklerinde şüpheli faaliyetlerden haberdar olduk” dedi. “Daha fazla yetkisiz etkinliği önlemek için bu hizmete geçici bir kesinti uygulamak ve şirket içi müşterilerimize gelişmiş bir yamayı uygulamayla ilgili talimatları içeren azaltma kılavuzunu paylaşmak da dahil olmak üzere, bunu ele almak için hemen birden fazla adım attık.”
Fortra, etkilenen kullanıcılarını destekleme taahhüdünü sürdürdüğünü de sözlerine ekledi.
Fortra’nın sözcüsünün yaptığı açıklamada, “Etkilenmiş olabilecek müşterileri bilgilendirmek için özenle çalışıyoruz ve bu güvenlik açığıyla ilgili bilgileri CVE kataloglarına eklemek için CISA ile koordineli olarak çalışıyoruz.” “Bunu çok ciddiye alıyoruz ve müşterilerimizin bu sorunu çözmek için azaltma adımlarını uygulamalarına yardımcı olmaya devam ediyoruz.”
Fortra’nın İletişimi Ateş Altında
İlk raporlar GoAnywhere sıfır gün 2 Şubat’ta siber güvenlik haber sitesi tarafından paylaşılmıştı. KrebsOnGüvenlik, bir oturum açma sayfasının arkasına doldurulmuş danışma bilgisini bulduktan sonra, bilgileri halkın görmesi için basitçe yapıştırdı. Günler sonra bir yama yayınlandı Fortra tarafından. Sonraki günlerde yama gecikmesi üzerine bahis oynayan Clop fidye yazılımı tehdit aktörleri avantaj elde edebildi. 10 Şubat’ta Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), hatayı kendi listesine ekledi. bilinen istismar edilen güvenlik açıkları kataloğu.
Bununla birlikte, şirketler devam eden kampanyaya kapılmaya devam etti. Fortra’nın verdiği güvencelere rağmen, siber güvenlik analistleri, uzmanları ve gözlemcileri, şirketin iletişim eksikliğini ve mağdurlara ve hedeflere rehberlik etmede yavaş yanıt vermesini büyük ölçüde eleştiriyor. Saldırı yüzeyi de geniş, not edilmelidir: Web sitesine göre, GoAnywhere 3.000’den fazla kuruluşta her türlü belgeyi yönetmek için kullanılıyor. ve göre Enlyft’ten verilerbunların çoğu büyük kuruluşlardır – en az 1.000 ve genellikle 10.000’den fazla çalışanı vardır – çoğunlukla Amerika Birleşik Devletleri’nde bulunur.
“Bu, iyi iletilmedi ve en iyi güvenlik ekiplerini bile yanıt vermeye zorladı.” Fenix24’ün kurucu ortağı Heath Renfrow, Fortra’dan yeni yayınlanan açıklamaya yanıt olarak Dark Reading’e anlatıyor. “Bu, güvenlik uzmanlarının her temeli kapsayacak birden fazla tehdit istihbaratı kaynağına – kendi sağlayıcılarının ötesinde – sahip olmasının ne kadar gerekli olduğunun iyi bir örneği. Bununla birlikte, şimdi iletildi ve çözümü kullanan herkesin hemen yama yapması gerekiyor.”
Netwrix güvenlik araştırmalarından sorumlu başkan yardımcısı Dirk Schrader, yavaş iletişimin özellikle bir yazılım tedarik zinciri saldırısı senaryosunda zararlı olabileceğini söyledi.
E-posta yoluyla, “Bir tedarik zinciri saldırısının daha fazla gelişmesini önlemek için, sıradaki ilk kurbanın ne olduğu hakkında açık ve ayrıntılı bir şekilde iletişim kurması çok önemlidir” dedi. “Bu zincirdeki diğer halkaların yaklaşmakta olan bir tehdide karşı hazırlanmasına yardımcı oluyor ve olası hasarı en aza indiriyor. Bu sıfır günle ilgili ayrıntıların zamanında açıklanmaması nedeniyle mevcut saldırının hızlandırılmış olması muhtemel.”
Dark Reading, Fortra’dan siber güvenlik olayını ele almasına yönelik eleştirilere yanıt vermesini istedi, ancak bir yanıt alamadı. Bu arada, Forta’nın müşterisi olan Toronto Belediyesi, ihlalle ilgili olarak Fortra ile olan iletişimi sorulduğunda, e-posta ile basit bir yanıt verdi: “Fortra, Şehir ile iletişim halindeydi ve bunu yapmaya devam ediyor.”
Bu, Clop fidye yazılımı kullanıcılarının böyle toplu bir ihlali ilk kez gerçekleştirmiyor. Rusya merkezli FIN11, Aralık 2020’de benzer bir Accellion sıfır gün kusurunun üzerine atlamak için Clop fidye yazılımını kullandı.