Как сообщили специалисты, почти две недели никто не подозревал об этой нашумевшей уязвимости.
Компания Fortra наконец завершила расследование эксплуатации CVE-2023-0669 , уязвимости нулевого дня в решении GoAnywhere MFT, которую банда вымогателей Clop оперативно использовала для кражи данных более чем у сотни компаний.
О наличии критической уязвимости удаленного выполнения кода в продукте GoAnywhere MFT стало известно 3 февраля — после того, как Fortra уведомила своих клиентов. Через несколько дней, 6 февраля, в публичный доступ был выложен первый рабочий эксплойт, что повысило вероятность того, что уязвимостью воспользуются и другие злоумышленники. Днём позже Fortra выпустила обновление безопасности, призвав всех клиентов установить его, чтобы минимизировать любые риски.
10 февраля группа вымогателей Clop публично заявила , что похитила данные 130 компаний, используя вышеупомянутую уязвимость нулевого дня в GoAnywhere MFT. Киберпреступникам удалось провернуть столь масштабную кражу всего за 10 дней. А первоначальный доступ они получили в период с 28 по 30 января, согласно последнему отчёту Fortra.
Как сообщается, 30 января компании стало известно о подозрительной активности в некоторых экземплярах GoAnywhere MFT, и она быстро отключила облачный сервис для дальнейшего расследования. Однако за это время хакеры успели воспользоваться уязвимостью для создания учётных записей пользователей в некоторых клиентских средах. Затем злоумышленники использовали эти учётные записи для выгрузки файлов из среды MFT. А в некоторых сетях они и вовсе дополнительно закрепились с помощью вредоносного программного обеспечения.
«В ходе расследования мы обнаружили, что неавторизованная сторона использовала CVE-2023-0669 для установки до двух дополнительных инструментов — «Netcat» и «Errors.jsp» — в некоторых клиентских средах MFT в период с 28 января по 31 января. Когда мы определили данные инструменты, мы напрямую связались с каждым клиентом, если какой-либо из этих инструментов был обнаружен в их среде», — пояснила Fortra.
По мере продолжения расследования Fortra обнаружила, что та же уязвимость CVE-2023-0669 ещё 18 января была использована и против локальных клиентов, использующих определенную конфигурацию GoAnywhere MFT. Это даёт чётко понять, что хакеры почти две недели свободно эксплуатировали уязвимость, прежде чем это заметили специалисты.
Fortra сообщила, что уже помогла всем клиентам, непосредственно затронутыми данными атаками, защитить их экземпляры GoAnywhere MFT и безопасно настроить их. Однако в своем последнем отчёте компания перечислила ряд мер по смягчению последствий, а также рекомендации, призывая клиентов выполнить следующие действия, если они еще этого не сделали:
Ладно, не доказали. Но мы работаем над этим