A Fortra concluiu sua investigação sobre a exploração da
CVE-2023-0669
, uma falha de dia zero na solução GoAnywhere MFT que o grupo de ransomware Clop explorou para roubar dados de mais de cem empresas.
A falha crítica de execução remota de código do GoAnywhere tornou-se pública após a Fortra notificar os clientes em 3 de fevereiro de 2023.
Um exploit funcional foi lançado em 6 de fevereiro de 2023, aumentando a probabilidade de que outros atores mal-intencionados o explorem.
A Fortra lançou uma atualização de segurança para a vulnerabilidade de dia zero um dia depois, pedindo a todos os clientes que a instalassem.
Em 10 de fevereiro de 2023, o grupo de ransomware Clop disse à BleepingComputer que havia conseguido roubar os dados de 130 empresas explorando o bug no GoAnywhere MFT.
Apesar das inúmeras tentativas da BleepingComputer de entrar em contato com a Fortra sobre os ataques e tentativas de extorsão relatados, o fornecedor de software não respondeu.
Agora, quase 1,5 meses após a primeira divulgação do dia zero, a Fortra compartilhou uma linha do tempo detalhada do que aconteceu.
De acordo com o anúncio da Fortra, a empresa tomou conhecimento de atividade suspeita em certas instâncias do GoAnywhere MFTaaS em 30 de janeiro de 2023 e rapidamente derrubou o serviço em nuvem para investigar mais a fundo.
A investigação revelou que um ator de ameaça aproveitou a vulnerabilidade então desconhecida entre 28 e 30 de janeiro de 2023 para criar contas de usuário em alguns ambientes de clientes.
Em seguida, o invasor usou essas contas para baixar arquivos do ambiente MFT.
A Fortra diz que priorizou a comunicação com o subconjunto de clientes que sofreram uma violação de dados.
Além disso, os atores de ameaças usaram suas novas contas para instalar ferramentas adicionais em alguns ambientes de clientes.
"Durante a investigação, descobrimos que a parte não autorizada usou a
CVE-2023-0669
para instalar até duas ferramentas adicionais - "Netcat" e "Errors.jsp" - em alguns ambientes de clientes MFTaaS entre 28 de janeiro de 2023 e 31 de janeiro de 2023", explica a Fortra.
"Quando identificamos as ferramentas usadas no ataque, comunicamos diretamente com cada cliente se qualquer uma dessas ferramentas foi descoberta em seu ambiente".
O Netcat é uma utilidade de rede versátil que os atores de ameaças normalmente usam para estabelecer backdoors, realizar varreduras de porta ou transferir arquivos entre o sistema comprometido e seu servidor.
O Errors.jsp é um arquivo JavaServer Pages (JSP) usado para criar páginas da web dinâmicas.
A Fortra não explica como os atacantes usaram o arquivo.
No entanto, é possível que tenha sido projetado para fornecer ao atacante um backdoor baseado na web no sistema violado para executar comandos, roubar dados ou manter acesso ao ambiente.
À medida que a investigação continuou, a Fortra descobriu que a mesma falha havia sido aproveitada contra clientes locais que executavam uma configuração específica do GoAnywhere MFT, movendo os primeiros sinais de exploração de volta para 18 de janeiro de 2023.
Isso significa que a
CVE-2023-0669
estava sob exploração ativa, embora limitada, por aproximadamente duas semanas antes que o fornecedor de software percebesse a violação de segurança.
A Fortra diz que ajudou e orientou todos os clientes diretamente impactados por esses ataques sobre como proteger suas instâncias e configurar seu GoAnywhere MFT com segurança.
No entanto, listou mitigação e recomendações em seu último anúncio, instando os clientes a realizar as seguintes ações, se ainda não o fizeram: Além disso, se as instâncias do GoAnywhere MFT expostas hospedaram credenciais de usuários de outros sistemas no ambiente, essas devem ser revogadas para evitar violações subsequentes ou movimento lateral na rede.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...