Fortra telah menyelesaikan penyelidikannya terhadap eksploitasi CVE-2023-0669, cacat zero-day dalam solusi MFT GoAnywhere yang dieksploitasi oleh geng ransomware Clop untuk mencuri data dari lebih dari seratus perusahaan.
Cacat eksekusi kode jarak jauh GoAnywhere yang kritis menjadi diketahui publik setelah Fortra memberi tahu pelanggan pada 3 Februari 2023.
A bekerja mengeksploitasi segera dirilis pada 6 Februari 2023, meningkatkan kemungkinan pelaku ancaman lain akan mengeksploitasinya. Fortra merilis pembaruan keamanan untuk kerentanan zero-day sehari kemudian, mendesak semua pelanggan untuk menginstalnya.
Pada tanggal 10 Februari 2023, the Geng ransomware Clop memberi tahu BleepingComputer bahwa ia berhasil mencuri data 130 perusahaan dengan mengeksploitasi bug di MFT GoAnywhere.
Meskipun banyak upaya oleh BleepingComputer untuk menghubungi Fortra tentang serangan yang dilaporkan Dan upaya pemerasanvendor perangkat lunak tidak menanggapi.
Sekarang, hampir 1,5 bulan setelah pengungkapan pertama zero-day, Fortra telah membagikan garis waktu terperinci tentang apa yang terjadi.
Dilanggar sejak 18 Januari 2023
Menurut pengumuman Fortra, perusahaan mengetahui aktivitas mencurigakan di instans MFTaaS GoAnywhere tertentu pada 30 Januari 2023, dan dengan cepat menghentikan layanan cloud untuk menyelidiki lebih lanjut.
Penyelidikan mengungkapkan bahwa pelaku ancaman memanfaatkan kerentanan yang saat itu tidak diketahui antara 28 Januari dan 30 Januari 2023, untuk membuat akun pengguna di beberapa lingkungan pelanggan.
Selanjutnya, penyusup menggunakan akun ini untuk mengunduh file dari lingkungan MFT. Fortra mengatakan memprioritaskan komunikasi dengan subset klien yang mengalami pelanggaran data.
Selain itu, pelaku ancaman menggunakan akun baru mereka untuk memasang alat tambahan di beberapa lingkungan pelanggan.
“Selama penyelidikan, kami menemukan pihak yang tidak berwenang menggunakan CVE-2023-0669 untuk menginstal hingga dua alat tambahan – “Netcat” dan “Errors.jsp” – di beberapa lingkungan pelanggan MFTaaS antara 28 Januari 2023 dan 31 Januari 2023 ,” jelas Fortra.
“Saat kami mengidentifikasi alat yang digunakan dalam serangan, kami berkomunikasi langsung dengan setiap pelanggan jika salah satu dari alat ini ditemukan di lingkungan mereka.”
Netcat adalah utilitas jaringan serbaguna yang biasanya digunakan oleh pelaku ancaman untuk membangun pintu belakang, melakukan pemindaian port, atau mentransfer file antara sistem yang disusupi dan server mereka.
Errors.jsp adalah file JavaServer Pages (JSP) yang digunakan untuk membuat halaman web dinamis. Fortra tidak menjelaskan bagaimana penyerang menggunakan file tersebut. Namun, mungkin saja itu dirancang untuk memberi penyerang pintu belakang berbasis web pada sistem yang dilanggar untuk menjalankan perintah, mencuri data, atau mempertahankan akses ke lingkungan.
Saat penyelidikan berlanjut, Fortra menemukan bahwa kelemahan yang sama telah dimanfaatkan terhadap pelanggan lokal yang menjalankan konfigurasi khusus MFT GoAnywhere, memindahkan tanda-tanda eksploitasi pertama kembali ke 18 Januari 2023.
Ini berarti CVE-2023-0669 aktif, meskipun dilaporkan dieksploitasi secara terbatas, selama kurang lebih dua minggu sebelum vendor perangkat lunak menyadari pelanggaran keamanan.
Rekomendasi
Fortra mengatakan bahwa mereka telah membantu dan memandu semua pelanggan yang terkena dampak langsung dari serangan ini tentang cara mengamankan instans mereka dan mengonfigurasi MFT GoAnywhere mereka dengan aman.
Namun, telah mencantumkan mitigasi dan rekomendasi dalam pengumuman terbarunya, mendesak pelanggan untuk melakukan tindakan berikut jika mereka belum melakukannya:
- Putar Kunci Enkripsi Master Anda.
- Setel ulang semua kredensial – kunci dan/atau kata sandi – termasuk untuk semua mitra dagang/sistem eksternal.
- Tinjau log audit dan hapus akun admin dan/atau pengguna web yang mencurigakan.
Selain itu, jika instans MFT GoAnywhere yang terekspos menghosting kredensial pengguna sistem lain di lingkungan, kredensial tersebut harus dicabut untuk mencegah pelanggaran berikutnya atau pergerakan jaringan lateral.
