Fortra, kompanija koja stoji iza Cobalt Strike-a, rasvijetlila je Zero-Day ranjivost izvršavanja koda na daljinu (RCE) u svom GoAnywhere MFT alatu koji je bio pod aktivnom eksploatacijom ransomware hakera za krađu osjetljivih podataka.
Greška visoke ozbiljnosti, praćena kao CVE-2023-0669 (CVSS rezultat: 7,2), odnosi se na slučaj ubrizgavanja komande s prethodnom autentifikacijom koja bi se mogla zloupotrebiti za postizanje izvršenja koda. Kompanija je zakrpila problem u verziji 7.1.2 softvera u februaru 2023. godine, ali ne prije nego što je uveden kao Zero-Day od 18. januara.
Fortra, koja je radila sa Palo Alto Networks Unit 42, saopštila je da je 30. januara 2023. godine upoznata sa sumnjivim aktivnostima povezanim sa nekim od instanci prenosa datoteka.
„Neovlašćena strana je koristila CVE-2023-0669 da kreira neovlaštene korisničke naloge u nekim MFTaaS korisničkim okruženjima“ saopštila je kompanija. “Za podskup ovih klijenata, neovlaštena strana je iskoristila ove korisničke naloge za preuzimanje datoteka iz njihovih hostovanih MFTaaS okruženja.”
Haker je dalje zloupotrebio propust da primjeni dva dodatna alata, nazvana “Netcat” i “Errors.jsp”, između 28. januara i 31. januara 2023. godine, iako se kaže da nije svaki pokušaj instalacije bio uspešan.
Fortra je saopštila da je direktno stupila u kontakt sa pogođenim klijentima i da nije pronašla nikakve znake neovlašćenog pristupa korisničkim sistemima koji su prepravljeni u “čisto i bezbjedno okruženje MFTaaS”.
Iako je Netcat legitiman program za upravljanje čitanjem i pisanjem podataka preko mreže, trenutno nije poznato kako je JSP datoteka korištena u napadima.
Istraga je takođe otkrila da je CVE-2023-0669 iskorišćen protiv malog broja lokalnih implementacija koje koriste specifičnu konfiguraciju GoAnywhere MFT rešenja.
Kao ublažavanje, kompanija preporučuje da korisnici rotiraju glavni ključ za šifrovanje, resetuju sve kredencijale, pregledaju evidencije revizije i izbrišu sve sumnjive administratorske ili korisničke naloge.
Razvoj dolazi nakon što su Malwarebytes i NCC Group prijavili porast napada ransomware-a tokom mjeseca marta, uglavnom vođen aktivnom eksploatacijom GoAnywhere MFT ranjivosti.
Samo prošlog mjeseca zabilježeno je ukupno 459 napada, što je povećanje od 91% u odnosu na februar 2023. godine i skok od 62% u odnosu na mart 2022. godine.
“Provajder ransomware-as-a-service (RaaS), Cl0p , uspješno je iskoristio ranjivost GoAnywhere i bio je najaktivniji uočeni haker, sa ukupno 129 žrtava” saopštila je NCC grupa.
Eksploatacija Cl0p-a označava drugi put da je LockBit srušen sa vrha od septembra 2021. godine. Ostali rasprostranjeni sojevi ransomware-a su Royal, BlackCat, Play, Black Basta i BianLian.
Vrijedi napomenuti da su hakeri Cl0p-a prethodno iskoristili Zero-Day nedostatke u Accellion File Transfer Appliance-u (FTA) kako bi preuzeli nekoliko ciljeva u 2021. godine.