Fortra は、Clop ランサムウェア ギャングが 100 以上の企業からデータを盗むために悪用した GoAnywhere MFT ソリューションのゼロデイ欠陥である CVE-2023-0669 の悪用に関する調査を完了しました。
Fortra が 2023 年 2 月 3 日に顧客に通知した後、重大な GoAnywhere リモート コード実行の欠陥が公に知られるようになりました。
2023 年 2 月 6 日に有効なエクスプロイトがリリースされたため、他の攻撃者がそれを悪用する可能性が高くなりました。 Fortra は 1 日後にゼロデイ脆弱性に対するセキュリティ アップデートをリリースし、すべての顧客にインストールを促しました。
2023 年 2 月 10 日、 Clop ランサムウェア ギャングは、GoAnywhere MFT のバグを悪用して 130 社のデータを盗むことに成功したと発表しました。
報告された攻撃や恐喝の試みについて Fortra に何度も連絡を取ろうとしたにもかかわらず、ソフトウェア ベンダーは応答しませんでした。
ゼロデイが最初に公開されてから約 1.5 か月が経過した今、Fortra は何が起こったかの詳細なタイムラインを共有しました。
2023 年 1 月 18 日以降の侵害
Fortra の発表によると、同社は 2023 年 1 月 30 日に特定の GoAnywhere MFTaaS インスタンスで疑わしいアクティビティを認識し、さらに調査するためにクラウド サービスをすぐに停止しました。
調査の結果、脅威アクターが 2023 年 1 月 28 日から 1 月 30 日の間に、当時は不明だった脆弱性を利用して、一部の顧客環境でユーザー アカウントを作成したことが明らかになりました。
次に、侵入者はこれらのアカウントを使用して、MFT 環境からファイルをダウンロードしました。 Fortra は、データ侵害を受けた一部のクライアントとのコミュニケーションを優先したと述べています。
さらに、攻撃者は新しいアカウントを使用して、一部の顧客環境に追加のツールをインストールしました。
「調査中に、不正な当事者が CVE-2023-0669 を使用して、2023 年 1 月 28 日から 2023 年 1 月 31 日の間に、一部の MFTaaS 顧客環境に「Netcat」と「Errors.jsp」という最大 2 つの追加ツールをインストールしたことを発見しました。 」とFortra は説明します。
「攻撃で使用されたツールを特定したとき、これらのツールのいずれかが環境内で発見された場合は、各顧客に直接連絡しました。」
Netcat は、脅威アクターがバックドアの確立、ポート スキャンの実行、または侵害されたシステムとサーバー間のファイル転送に通常使用する汎用ネットワーク ユーティリティです。
Errors.jsp は、動的 Web ページの作成に使用される JavaServer Pages (JSP) ファイルです。 Fortra は、攻撃者がファイルをどのように使用したかを説明していません。ただし、コマンドの実行、データの盗用、または環境へのアクセスの維持のために、侵害されたシステムに Web ベースのバックドアを攻撃者に提供するように設計されている可能性があります。
調査が進むにつれて、Fortra は、GoAnywhere MFT の特定の構成を実行しているオンプレミスの顧客に対して同じ欠陥が利用されていることを発見し、悪用の最初の兆候を 2023 年 1 月 18 日に戻しました。
これは、CVE-2023-0669 が、ソフトウェア ベンダーがセキュリティ侵害に気付くまでの約 2 週間、限定的な悪用が報告されていたにもかかわらず、アクティブであったことを意味します。
推奨事項
Fortra は、インスタンスを保護し、GoAnywhere MFT を安全に構成する方法について、これらの攻撃によって直接影響を受けたすべての顧客を支援し、ガイドしたと述べています。
ただし、最新の発表には緩和策と推奨事項が記載されており、まだ実行していない場合は、次のアクションを実行するよう顧客に促しています。
- マスター暗号化キーをローテーションします。
- すべての資格情報 (キーおよび/またはパスワード) をリセットします。これには、すべての外部取引先/システムが含まれます。
- 監査ログを確認し、疑わしい管理者アカウントや Web ユーザー アカウントを削除します。
さらに、公開された GoAnywhere MFT インスタンスが環境内の他のシステムのユーザーのクレデンシャルをホストしている場合、その後の違反や横方向のネットワーク移動を防ぐためにそれらを取り消す必要があります。
Comments