Cobalt Strike’ın arkasındaki şirket olan Fortra, hassas verileri çalmak için fidye yazılımı aktörleri tarafından aktif olarak sömürülen GoAnywhere MFT aracındaki sıfır günlük uzaktan kod yürütme (RCE) güvenlik açığına ışık tuttu.
Yüksek önem dereceli kusur, şu şekilde izlenir: CVE-2023-0669 (CVSS puanı: 7.2), kod yürütmeyi gerçekleştirmek için kötüye kullanılabilecek, önceden doğrulanmış bir komut enjeksiyonu durumuyla ilgilidir. Sorun, şirket tarafından yazılımın 7.1.2 sürümünde Şubat 2023’te yamalandı, ancak 18 Ocak’tan bu yana sıfır gün olarak silah haline getirilmeden önce değil.
Palo Alto Ağları Birimi 42 ile çalışan Fortra, 30 Ocak 2023’te bazı dosya aktarım örnekleriyle ilişkili şüpheli etkinlikten haberdar edildiğini söyledi.
Şirket, “Yetkisiz taraf, bazı MFTaaS müşteri ortamlarında yetkisiz kullanıcı hesapları oluşturmak için CVE-2023-0669’u kullandı.” söz konusu. “Bu müşterilerin bir alt kümesi için, yetkisiz taraf, barındırılan MFTaaS ortamlarından dosya indirmek için bu kullanıcı hesaplarından yararlandı.”
Tehdit aktörü, ” olarak adlandırılan iki ek aracı konuşlandırmak için kusuru daha da kötüye kullandı.netcat” ve “Errors.jsp”, 28 Ocak 2023 ile 31 Ocak 2023 tarihleri arasında, her yükleme denemesinin başarılı olduğu söylenmese de.
Fortra, etkilenen müşterilere doğrudan ulaştığını ve “temiz ve güvenli bir MFTaaS ortamı” olarak yeniden sağlanan müşteri sistemlerine herhangi bir yetkisiz erişim belirtisi bulmadığını söyledi.
Netcat, bir ağ üzerinden veri okuma ve yazma yönetimi için meşru bir program olsa da, şu anda nasıl olduğu bilinmiyor. JSP dosyası saldırılarda kullanıldı.
Soruşturma ayrıca, CVE-2023-0669’un, GoAnywhere MFT çözümünün belirli bir yapılandırmasını çalıştıran az sayıda şirket içi uygulamada istismar edildiğini ortaya çıkardı.
Hafifletici önlemler olarak şirket, kullanıcılara Ana Şifreleme Anahtarını döndürmelerini, tüm kimlik bilgilerini sıfırlamalarını, denetim günlüklerini incelemelerini ve şüpheli yönetici veya kullanıcı hesaplarını silmelerini öneriyor.
gelişme olarak gelir Malwarebytes Ve NCC Grubu Mart ayı boyunca fidye yazılımı saldırılarında büyük ölçüde şunlardan kaynaklanan bir artış bildirdi: aktif sömürü GoAnywhere MFT güvenlik açığı.
Yalnızca geçen ay toplam 459 saldırı kaydedildi; Şubat 2023’e göre %91 artış ve Mart 2022’ye kıyasla %62 artış.
Aldatarak Savun: Sıfır Güven Güvenliğini Geliştirme
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
NCC Group, “Hizmet olarak fidye yazılımı (RaaS) sağlayıcısı Cl0p, GoAnywhere güvenlik açığından başarıyla yararlandı ve toplamda 129 kurbanla gözlemlenen en aktif tehdit aktörü oldu” dedi.
Cl0p’nin istismar çılgınlığı, LockBit’in Eylül 2021’den bu yana ikinci kez en üst sıralarda yer almasına işaret ediyor. Diğer yaygın fidye yazılımı türleri arasında Royal, BlackCat, Play, Black Basta ve BianLian yer alıyor.
Cl0p aktörlerinin daha önce 2021’de birkaç hedefi ihlal etmek için Accellion Dosya Aktarım Aracındaki (FTA) sıfır gün kusurlarından yararlandığını belirtmekte fayda var.