Конец истории: Fortra делится выводами об атаках нулевого дня на GoAnywhere MFT
NewsMakerКак сообщили специалисты, почти две недели никто не подозревал об этой нашумевшей уязвимости.
Компания Fortra наконец завершила расследование эксплуатации CVE-2023-0669 , уязвимости нулевого дня в решении GoAnywhere MFT, которую банда вымогателей Clop оперативно использовала для кражи данных более чем у сотни компаний.
О наличии критической уязвимости удаленного выполнения кода в продукте GoAnywhere MFT стало известно 3 февраля — после того, как Fortra уведомила своих клиентов. Через несколько дней, 6 февраля, в публичный доступ был выложен первый рабочий эксплойт, что повысило вероятность того, что уязвимостью воспользуются и другие злоумышленники. Днём позже Fortra выпустила обновление безопасности, призвав всех клиентов установить его, чтобы минимизировать любые риски.
10 февраля группа вымогателей Clop публично заявила , что похитила данные 130 компаний, используя вышеупомянутую уязвимость нулевого дня в GoAnywhere MFT. Киберпреступникам удалось провернуть столь масштабную кражу всего за 10 дней. А первоначальный доступ они получили в период с 28 по 30 января, согласно последнему отчёту Fortra.
Как сообщается, 30 января компании стало известно о подозрительной активности в некоторых экземплярах GoAnywhere MFT, и она быстро отключила облачный сервис для дальнейшего расследования. Однако за это время хакеры успели воспользоваться уязвимостью для создания учётных записей пользователей в некоторых клиентских средах. Затем злоумышленники использовали эти учётные записи для выгрузки файлов из среды MFT. А в некоторых сетях они и вовсе дополнительно закрепились с помощью вредоносного программного обеспечения.
«В ходе расследования мы обнаружили, что неавторизованная сторона использовала CVE-2023-0669 для установки до двух дополнительных инструментов — «Netcat» и «Errors.jsp» — в некоторых клиентских средах MFT в период с 28 января по 31 января. Когда мы определили данные инструменты, мы напрямую связались с каждым клиентом, если какой-либо из этих инструментов был обнаружен в их среде», — пояснила Fortra.
Fortra сообщила, что уже помогла всем клиентам, непосредственно затронутыми данными атаками, защитить их экземпляры GoAnywhere MFT и безопасно настроить их. Однако в своем последнем отчёте компания перечислила ряд мер по смягчению последствий, а также рекомендации, призывая клиентов выполнить следующие действия, если они еще этого не сделали:
Компания Fortra наконец завершила расследование эксплуатации CVE-2023-0669 , уязвимости нулевого дня в решении GoAnywhere MFT, которую банда вымогателей Clop оперативно использовала для кражи данных более чем у сотни компаний.
О наличии критической уязвимости удаленного выполнения кода в продукте GoAnywhere MFT стало известно 3 февраля — после того, как Fortra уведомила своих клиентов. Через несколько дней, 6 февраля, в публичный доступ был выложен первый рабочий эксплойт, что повысило вероятность того, что уязвимостью воспользуются и другие злоумышленники. Днём позже Fortra выпустила обновление безопасности, призвав всех клиентов установить его, чтобы минимизировать любые риски.
10 февраля группа вымогателей Clop публично заявила , что похитила данные 130 компаний, используя вышеупомянутую уязвимость нулевого дня в GoAnywhere MFT. Киберпреступникам удалось провернуть столь масштабную кражу всего за 10 дней. А первоначальный доступ они получили в период с 28 по 30 января, согласно последнему отчёту Fortra.
Как сообщается, 30 января компании стало известно о подозрительной активности в некоторых экземплярах GoAnywhere MFT, и она быстро отключила облачный сервис для дальнейшего расследования. Однако за это время хакеры успели воспользоваться уязвимостью для создания учётных записей пользователей в некоторых клиентских средах. Затем злоумышленники использовали эти учётные записи для выгрузки файлов из среды MFT. А в некоторых сетях они и вовсе дополнительно закрепились с помощью вредоносного программного обеспечения.
«В ходе расследования мы обнаружили, что неавторизованная сторона использовала CVE-2023-0669 для установки до двух дополнительных инструментов — «Netcat» и «Errors.jsp» — в некоторых клиентских средах MFT в период с 28 января по 31 января. Когда мы определили данные инструменты, мы напрямую связались с каждым клиентом, если какой-либо из этих инструментов был обнаружен в их среде», — пояснила Fortra.
- Netcat — это универсальная сетевая утилита, которую кибербандиты обычно используют для установки бэкдоров, сканирования портов или передачи файлов между скомпрометированной системой и своим сервером.
- Errors.jsp — это файл JavaServer Pages (JSP), используемый для создания динамических веб-страниц. Fortra не объяснила, как конкретно злоумышленники использовали этот файл. Однако, возможно, он служил для предоставления удалённого доступа ко взломанной системе, что позволяло киберпреступникам выполнять произвольные команды, похищать данные и сохранять доступ к данной среде.
Fortra сообщила, что уже помогла всем клиентам, непосредственно затронутыми данными атаками, защитить их экземпляры GoAnywhere MFT и безопасно настроить их. Однако в своем последнем отчёте компания перечислила ряд мер по смягчению последствий, а также рекомендации, призывая клиентов выполнить следующие действия, если они еще этого не сделали:
- изменить мастер-ключ шифрования;
- сбросить все учётные данные — ключи и/или пароли, в том числе для всех внешних торговых партнеров и систем;
- просмотреть журналы действий и удалить все подозрительные учётные записи администраторов и/или веб-пользователей;
- если на открытых экземплярах GoAnywhere MFT размещались учётные данные пользователей других систем, их следует отозвать, чтобы предотвратить последующие нарушения безопасности или боковое перемещение по сети.