Как сообщили специалисты, почти две недели никто не подозревал об этой нашумевшей уязвимости.
Компания Fortra Для просмотра ссылки Войдиили Зарегистрируйся расследование эксплуатации Для просмотра ссылки Войди или Зарегистрируйся , уязвимости нулевого дня в решении GoAnywhere MFT, которую банда вымогателей Clop Для просмотра ссылки Войди или Зарегистрируйся для кражи данных более чем у сотни компаний.
О наличии критической уязвимости удаленного выполнения кода в продукте GoAnywhere MFT стало известно 3 февраля — после того, как Fortra уведомила своих клиентов. Через несколько дней, 6 февраля, в публичный доступ был выложен первый рабочий эксплойт, что повысило вероятность того, что уязвимостью воспользуются и другие злоумышленники. Днём позже Fortra Для просмотра ссылки Войдиили Зарегистрируйся безопасности, призвав всех клиентов установить его, чтобы минимизировать любые риски.
10 февраля группа вымогателей Clop Для просмотра ссылки Войдиили Зарегистрируйся , что похитила данные 130 компаний, используя вышеупомянутую уязвимость нулевого дня в GoAnywhere MFT. Киберпреступникам удалось провернуть столь масштабную кражу всего за 10 дней. А первоначальный доступ они получили в период с 28 по 30 января, согласно Для просмотра ссылки Войди или Зарегистрируйся Fortra.
Как сообщается, 30 января компании стало известно о подозрительной активности в некоторых экземплярах GoAnywhere MFT, и она быстро отключила облачный сервис для дальнейшего расследования. Однако за это время хакеры успели воспользоваться уязвимостью для создания учётных записей пользователей в некоторых клиентских средах. Затем злоумышленники использовали эти учётные записи для выгрузки файлов из среды MFT. А в некоторых сетях они и вовсе дополнительно закрепились с помощью вредоносного программного обеспечения.
«В ходе расследования мы обнаружили, что неавторизованная сторона использовала Для просмотра ссылки Войдиили Зарегистрируйся для установки до двух дополнительных инструментов — «Netcat» и «Errors.jsp» — в некоторых клиентских средах MFT в период с 28 января по 31 января. Когда мы определили данные инструменты, мы напрямую связались с каждым клиентом, если какой-либо из этих инструментов был обнаружен в их среде», — пояснила Fortra.
или Зарегистрируйся ещё 18 января была использована и против локальных клиентов, использующих определенную конфигурацию GoAnywhere MFT. Это даёт чётко понять, что хакеры почти две недели свободно эксплуатировали уязвимость, прежде чем это заметили специалисты.
Fortra сообщила, что уже помогла всем клиентам, непосредственно затронутыми данными атаками, защитить их экземпляры GoAnywhere MFT и безопасно настроить их. Однако в своем последнем отчёте компания перечислила ряд мер по смягчению последствий, а также рекомендации, призывая клиентов выполнить следующие действия, если они еще этого не сделали:
Компания Fortra Для просмотра ссылки Войди
О наличии критической уязвимости удаленного выполнения кода в продукте GoAnywhere MFT стало известно 3 февраля — после того, как Fortra уведомила своих клиентов. Через несколько дней, 6 февраля, в публичный доступ был выложен первый рабочий эксплойт, что повысило вероятность того, что уязвимостью воспользуются и другие злоумышленники. Днём позже Fortra Для просмотра ссылки Войди
10 февраля группа вымогателей Clop Для просмотра ссылки Войди
Как сообщается, 30 января компании стало известно о подозрительной активности в некоторых экземплярах GoAnywhere MFT, и она быстро отключила облачный сервис для дальнейшего расследования. Однако за это время хакеры успели воспользоваться уязвимостью для создания учётных записей пользователей в некоторых клиентских средах. Затем злоумышленники использовали эти учётные записи для выгрузки файлов из среды MFT. А в некоторых сетях они и вовсе дополнительно закрепились с помощью вредоносного программного обеспечения.
«В ходе расследования мы обнаружили, что неавторизованная сторона использовала Для просмотра ссылки Войди
- Netcat — это универсальная сетевая утилита, которую кибербандиты обычно используют для установки бэкдоров, сканирования портов или передачи файлов между скомпрометированной системой и своим сервером.
- Errors.jsp — это файл JavaServer Pages (JSP), используемый для создания динамических веб-страниц. Fortra не объяснила, как конкретно злоумышленники использовали этот файл. Однако, возможно, он служил для предоставления удалённого доступа ко взломанной системе, что позволяло киберпреступникам выполнять произвольные команды, похищать данные и сохранять доступ к данной среде.
Fortra сообщила, что уже помогла всем клиентам, непосредственно затронутыми данными атаками, защитить их экземпляры GoAnywhere MFT и безопасно настроить их. Однако в своем последнем отчёте компания перечислила ряд мер по смягчению последствий, а также рекомендации, призывая клиентов выполнить следующие действия, если они еще этого не сделали:
- изменить мастер-ключ шифрования;
- сбросить все учётные данные — ключи и/или пароли, в том числе для всех внешних торговых партнеров и систем;
- просмотреть журналы действий и удалить все подозрительные учётные записи администраторов и/или веб-пользователей;
- если на открытых экземплярах GoAnywhere MFT размещались учётные данные пользователей других систем, их следует отозвать, чтобы предотвратить последующие нарушения безопасности или боковое перемещение по сети.
- Источник новости
- www.securitylab.ru