Fortra a terminé son enquête sur l’exploitation de CVE-2023-0669, une faille zero-day dans la solution GoAnywhere MFT que le gang de rançongiciels Clop a exploitée pour voler les données de plus d’une centaine d’entreprises.

La faille critique d’exécution de code à distance GoAnywhere est devenue publique après que Fortra a informé ses clients le 3 février 2023.

Un exploit fonctionnel a été rapidement publié le 6 février 2023, augmentant la probabilité que d’autres acteurs de la menace l’exploitent. Fortra a publié la mise à jour de sécurité pour la vulnérabilité zero-day un jour plus tard, exhortant tous les clients à l’installer.

Le 10 février 2023, le gang de rançongiciels Clop a déclaré à Breachtrace qu’il avait réussi à voler les données de 130 entreprises en exploitant le bogue de GoAnywhere MFT.

Malgré de nombreuses tentatives de Breachtrace pour contacter Fortra au sujet des attaques signalées et des tentatives d’extorsion, le fournisseur de logiciels n’a pas répondu.

Maintenant, près d’un mois et demi après la première divulgation du jour zéro, Fortra a partagé une chronologie détaillée de ce qui s’est passé.

Violation depuis le 18 janvier 2023
Selon l’annonce de Fortra, la société a pris connaissance d’une activité suspecte dans certaines instances de GoAnywhere MFTaaS le 30 janvier 2023 et a rapidement supprimé le service cloud pour enquêter plus avant.

L’enquête a révélé qu’un pirate a exploité la vulnérabilité alors inconnue entre le 28 et le 30 janvier 2023 pour créer des comptes d’utilisateurs dans certains environnements clients.

Ensuite, l’intrus a utilisé ces comptes pour télécharger des fichiers depuis l’environnement MFT. Fortra dit avoir donné la priorité aux communications avec le sous-ensemble de clients qui ont subi une violation de données.

De plus, les pirates ont utilisé leurs nouveaux comptes pour installer des outils supplémentaires dans certains environnements clients.

« Au cours de l’enquête, nous avons découvert que la partie non autorisée a utilisé CVE-2023-0669 pour installer jusqu’à deux outils supplémentaires – » Netcat « et » Errors.jsp « – dans certains environnements clients MFTaaS entre le 28 janvier 2023 et le 31 janvier 2023 », explique Fortra.

« Lorsque nous avons identifié les outils utilisés dans l’attaque, nous avons communiqué directement avec chaque client si l’un de ces outils était découvert dans son environnement. »

Netcat est un utilitaire de mise en réseau polyvalent que les pirates utilisent généralement pour établir des portes dérobées, effectuer une analyse de port ou transférer des fichiers entre le système compromis et leur serveur.

Errors.jsp est un fichier JavaServer Pages (JSP) utilisé pour créer des pages Web dynamiques. Fortra n’explique pas comment les attaquants ont utilisé le fichier. Cependant, il est possible qu’il ait été conçu pour fournir à l’attaquant une porte dérobée basée sur le Web sur le système piraté pour exécuter des commandes, voler des données ou maintenir l’accès à l’environnement.

Au fur et à mesure que l’enquête se poursuivait, Fortra a découvert que la même faille avait été exploitée contre des clients sur site exécutant une configuration spécifique du MFT GoAnywhere, ramenant les premiers signes d’exploitation au 18 janvier 2023.

Cela signifie que CVE-2023-0669 était sous exploitation active, quoique apparemment limitée, pendant environ deux semaines avant que le fournisseur de logiciels ne réalise la faille de sécurité.

Recommandations
Fortra affirme avoir aidé et guidé tous les clients directement touchés par ces attaques sur la manière de sécuriser leurs instances et de configurer leur MFT GoAnywhere en toute sécurité.

Cependant, il a répertorié des mesures d’atténuation et des recommandations dans sa dernière annonce, exhortant les clients à effectuer les actions suivantes s’ils ne l’ont pas déjà fait :

  • Faites pivoter votre clé de chiffrement principale.
  • Réinitialisez toutes les informations d’identification – clés et/ou mots de passe – y compris pour tous les partenaires commerciaux/systèmes externes.
  • Examinez les journaux d’audit et supprimez tous les comptes d’administrateur et/ou d’utilisateur Web suspects.

De plus, si les instances GoAnywhere MFT exposées hébergeaient les informations d’identification des utilisateurs d’autres systèmes de l’environnement, celles-ci doivent être révoquées pour éviter les violations ultérieures ou les mouvements latéraux du réseau.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *