Компания Fortra наконец завершила расследование эксплуатации CVE-2023-0669 , уязвимости нулевого дня в решении GoAnywhere MFT, которую банда вымогателей Clop оперативно использовала для кражи данных более чем у сотни компаний.
О наличии критической уязвимости удаленного выполнения кода в продукте GoAnywhere MFT стало известно 3 февраля – после того, как Fortra уведомила своих клиентов. Через несколько дней, 6 февраля, в публичный доступ был выложен первый рабочий эксплойт, что повысило вероятность того, что уязвимостью воспользуются и другие злоумышленники. Днём позже Fortra выпустила обновление безопасности, призвав всех клиентов установить его, чтобы минимизировать любые риски.
10 февраля группа вымогателей Clop публично заявила , что похитила данные 130 компаний, используя вышеупомянутую уязвимость нулевого дня в GoAnywhere MFT. Киберпреступникам удалось провернуть столь масштабную кражу всего за 10 дней. А первоначальный доступ они получили в период с 28 по 30 января, согласно последнему отчёту Fortra.
Как сообщается, 30 января компании стало известно о подозрительной активности в некоторых экземплярах GoAnywhere MFT, и она быстро отключила облачный сервис для дальнейшего расследования. Однако за это время хакеры успели воспользоваться уязвимостью для создания учётных записей пользователей в некоторых клиентских средах. Затем злоумышленники использовали эти учётные записи для выгрузки файлов из среды MFT. А в некоторых сетях они и вовсе дополнительно закрепились с помощью вредоносного программного обеспечения.
“В ходе расследования мы обнаружили, что неавторизованная сторона использовала CVE-2023-0669 для установки до двух дополнительных инструментов – “Netcat” и “Errors.jsp” – в некоторых клиентских средах MFT в период с 28 января по 31 января. Когда мы определили данные инструменты, мы напрямую связались с каждым клиентом, если какой-либо из этих инструментов был обнаружен в их среде”, – пояснила Fortra.
- Netcat – это универсальная сетевая утилита, которую кибербандиты обычно используют для установки бэкдоров, сканирования портов или передачи файлов между скомпрометированной системой и своим сервером.
- Errors.jsp – это файл JavaServer Pages (JSP), используемый для создания динамических веб-страниц. Fortra не объяснила, как конкретно злоумышленники использовали этот файл. Однако, возможно, он служил для предоставления удалённого доступа ко взломанной системе, что позволяло киберпреступникам выполнять произвольные команды, похищать данные и сохранять доступ к данной среде.
По мере продолжения расследования Fortra обнаружила, что та же уязвимость CVE-2023-0669ещё 18 января была использована и против локальных клиентов, использующих определенную конфигурацию GoAnywhere MFT. Это даёт чётко понять, что хакеры почти две недели свободно эксплуатировали уязвимость, прежде чем это заметили специалисты.
Fortra сообщила, что уже помогла всем клиентам, непосредственно затронутыми данными атаками, защитить их экземпляры GoAnywhere MFT и безопасно настроить их. Однако в своем последнем отчёте компания перечислила ряд мер по смягчению последствий, а также рекомендации, призывая клиентов выполнить следующие действия, если они еще этого не сделали:
- изменить мастер-ключ шифрования;
- сбросить все учётные данные – ключи и/или пароли, в том числе для всех внешних торговых партнеров и систем;
- просмотреть журналы действий и удалить все подозрительные учётные записи администраторов и/или веб-пользователей;
- если на открытых экземплярах GoAnywhere MFT размещались учётные данные пользователей других систем, их следует отозвать, чтобы предотвратить последующие нарушения безопасности или боковое перемещение по сети.