В декабре прошлого года хакеры атаковали компании по всему миру через уязвимость нулевого дня в Accellion FTA.
Американский облачный провайдер Accellion объявил об окончании жизненного цикла своего продукта FTA после того, как киберпреступники воспользовались им в ходе атак на десятки компаний и правительственных учреждений по всему миру в декабре 2020 года.
Разработанный в начале 2000-х годов продукт Accellion FTA стал одним из первых решений для хранения файлов больших размеров. Accellion FTA появился задолго до эпохи облачных хранилищ, таких как Box, Dropbox, Google Drive и OneDrive. Компании могли купить лицензию FTA и установить продукт на свои серверы, обеспечивая сотрудникам возможность обмениваться большими файлами, которые нельзя пересылать по электронной почте.
Позднее Accellion представила улучшенные продукты, такие как Kiteworks, с усовершенствованными функциями и усиленной безопасностью, но многие организации продолжают использовать Accellion FTA и по сей день.
По мере устаревания кода Accellion FTA в нем стали обнаруживаться уязвимости, о которых исследователи сообщали производителю в частном порядке. Как правило, компания успевала исправить их до того, как ими могли воспользоваться злоумышленники. Однако в декабре прошлого года киберпреступникам удалось обнаружить в ПО неисправленную уязвимость и атаковали через нее организации по всему миру. Жертвами кибератак стали Центробанк Новой Зеландии , юридическая фирма Allens, Университета Колорадо, сингапурская телекоммуникационная компания Singtel и т.д.
Согласно отчету ИБ-компании Guide Point Security, злоумышленники осуществляли SQL-инъекции и внедряли web-оболочку и через нее попадали в IT-сети и похищали файлы, хранящиеся в установках Accellion FTA.
Как сообщила Accellion в пресс-релизе от 11 января, компании стало известно об эксплуатации хакерами уязвимости нулевого дня в ее продукте, и она выпустила экстренное исправление. На то время, по данным компании, уязвимость нулевого дня эксплуатировалась в атаках менее чем на 50 пользователей Accellion FTA, но по мнению экспертов, это слишком оптимистичное утверждение.
Как сообщает Risky Business, компания не потрудилась уведомить своих пользователей о проблеме. Мало того, что исправление вышло вечером под Рождество, когда IT-специалисты в большинстве компаний отсутствовали на рабочих местах, Accellion не выпустила никаких уведомлений безопасности и не присвоила уязвимости идентификатор CVE. Вернувшись после праздников на работу, многие IT-специалисты даже не догадывались о том, что критическое обновление уже несколько дней ждет установки.
Через два дня после выхода пресс-релиза Accellion опубликовала на своем сайте PDF-документ, в котором объявила о формальном окончании поддержки Accellion FTA 30 апреля 2021 года. После этой даты компания не будет выполнять запросы на продление лицензий на устройства FTA.
Спойлер: мы раскрываем их любимые трюки