Fortra, la société à l’origine de Cobalt Strike, a mis en lumière une vulnérabilité d’exécution de code à distance (RCE) zero-day dans son outil GoAnywhere MFT qui a été activement exploitée par des acteurs de ransomwares pour voler des données sensibles.
La faille de haute gravité, suivie comme CVE-2023-0669 (score CVSS : 7,2), concerne un cas d’injection de commande pré-authentifiée qui pourrait être utilisée de manière abusive pour obtenir l’exécution de code. Le problème a été corrigé par la société dans la version 7.1.2 du logiciel en février 2023, mais pas avant qu’il ne soit transformé en arme comme un jour zéro depuis le 18 janvier.
Fortra, qui a travaillé avec l’unité 42 de Palo Alto Networks, a déclaré avoir été informée d’activités suspectes associées à certaines des instances de transfert de fichiers le 30 janvier 2023.
« La partie non autorisée a utilisé CVE-2023-0669 pour créer des comptes d’utilisateurs non autorisés dans certains environnements clients MFTaaS », a déclaré la société. a dit. « Pour un sous-ensemble de ces clients, la partie non autorisée a exploité ces comptes d’utilisateurs pour télécharger des fichiers à partir de leurs environnements MFTaaS hébergés. »
L’acteur de la menace a en outre abusé de la faille pour déployer deux outils supplémentaires, surnommés « Netcat » et « Errors.jsp », entre le 28 janvier 2023 et le 31 janvier 2023, bien que toutes les tentatives d’installation n’aient pas abouti.
Fortra a déclaré avoir contacté directement les clients concernés et n’avoir trouvé aucun signe d’accès non autorisé aux systèmes des clients qui ont été reprovisionnés dans un « environnement MFTaaS propre et sécurisé ».
Alors que Netcat est un programme légitime pour gérer la lecture et l’écriture de données sur un réseau, on ne sait pas actuellement comment le Fichier JSP a été utilisé dans les attentats.
L’enquête a également révélé que CVE-2023-0669 était exploité contre un petit nombre d’implémentations sur site exécutant une configuration spécifique de la solution GoAnywhere MFT.
À titre d’atténuation, la société recommande aux utilisateurs de faire pivoter la clé de chiffrement principale, de réinitialiser toutes les informations d’identification, de consulter les journaux d’audit et de supprimer tout compte d’administrateur ou d’utilisateur suspect.
Le développement vient comme Malwarebytes et Groupe CNC a signalé un pic d’attaques de ransomwares au cours du mois de mars, en grande partie dû à l’exploitation active de la vulnérabilité GoAnywhere MFT.
Un total de 459 attaques ont été enregistrées le mois dernier seulement, soit une augmentation de 91 % par rapport à février 2023 et un bond de 62 % par rapport à mars 2022.
Défendre avec tromperie : Faire progresser la sécurité Zero Trust
Découvrez comment Deception peut détecter les menaces avancées, arrêter les mouvements latéraux et améliorer votre stratégie Zero Trust. Rejoignez notre webinaire perspicace !
« Le fournisseur de ransomware-as-a-service (RaaS), Cl0p, a exploité avec succès la vulnérabilité GoAnywhere et a été l’acteur de menace le plus actif observé, avec 129 victimes au total », a déclaré NCC Group.
La frénésie d’exploitation de Cl0p marque la deuxième fois que LockBit perd la première place depuis septembre 2021. Parmi les autres souches de ransomwares répandues, citons Royal, BlackCat, Play, Black Basta et BianLian.
Il convient de noter que les acteurs Cl0p ont précédemment exploité les failles du jour zéro dans Accellion File Transfer Appliance (FTA) pour atteindre plusieurs objectifs en 2021.
