Softwareová bezpečnost je pro společnosti využívající služby správy přenosu souborů (MFT) klíčová. Proto je důležité připomenout nedávné zprávy ohledně zveřejnění demonstrovalního exploitu pro závažnou softwarovou zranitelnost ve Fortra GoAnywhere MFT.
CVE-2024-0204 je vážná autentizační chyba, kterou Fortra opravila 4. prosince 2023. Nicméně podrobnosti o této zranitelnosti byly veřejně zveřejněny poskytovatelem až v pondělí. Tato hrozba má hodnocení CVSS 9.8, což znamená, že umožňuje neoprávněnému uživateli vytvořit uživatele na úrovni administrátora prostřednictvím administrativního portálu produktu. To zase umožňuje vzdálenou převzetí plné kontroly nad prostředím klienta a přístup k síti.
Předtím se software GoAnywhere MFT stal terčem proslulé skupiny ransomwaru Clop. Jedná se o stejnou skupinu, která provedla známou kampaň útoků proti softwaru MOVEit od Fortra. Tím, že cílili na MFT software, se skupině podařilo kompromitovat data zhruba 100 obětí. Využili zranitelnost vzdáleného provedení kódu (CVE-2023-0669) ve Fortra MFT produktu.
Jednou z obětí útoku byla organizace Brightline, poskytující zdravotnické služby pro děti, která oznámila, že data více než 780 000 dětí byla ohrožena.
V současné situaci, kdy byly zveřejněny kódy využívající tyto zranitelnosti, je velmi pravděpodobné, že hackeři budou cílit na neopravené instance softwaru GoAnywhere MFT.
Dobrou zprávou je, že je možné zjistit, zda naše organizace již se stala obětí útoku. Horizon3 naznačuje, že nejjednodušší způsob je analyzovat nové přidání do skupiny Admin Users v administrativním portálu GoAnywhere. Pokud útočník tam zanechal nového uživatele, lze sledovat jejich nedávnou přihlašovací aktivitu, aby se odhadlo datum útoku.
Kromě toho jsou databázové záznamy uloženy v následujícím adresáři: GoAnywhereuserdatadatabasegoanywherelog*.log. Tyto soubory obsahují transakční historii databáze a přidávání uživatelů vytváří příslušné položky.
Je důležité, aby společnosti okamžitě aktualizovaly svůj software GoAnywhere MFT a zajistily své prostředí proti potenciálním útokům. Dáme přednost bezpečnosti našich dat!
Otázky a odpovědi:
Q: Jaké hodnocení má tato zranitelnost (CVE-2024-0204)?
A: Tato zranitelnost má hodnocení CVSS 9.8.
Q: Kdo byl cílem útoku skupiny ransomwaru Clop?
A: Cílem útoku skupiny ransomwaru Clop byl software GoAnywhere MFT od Fortra.
Q: Jakou zranitelnost využila skupina Clop ke kompromitaci dat?
A: Skupina Clop využila zranitelnost vzdáleného provedení kódu (CVE-2023-0669) ve Fortra MFT produktu.
Q: Jak společnost Brightline zareagovala na útok?
A: Společnost Brightline oznámila, že data více než 780 000 dětí byla ohrožena.
Q: Jak můžeme zjistit, zda naše organizace se stala obětí útoku?
A: Můžeme analyzovat nové přidání do skupiny Admin Users v administrativním portálu GoAnywhere nebo prohlédnout databázové záznamy v adresáři GoAnywhereuserdatadatabasegoanywherelog*.log.
Q: Co mohou společnosti udělat k zajištění svého prostředí proti útokům?
A: Je důležité, aby společnosti aktualizovaly svůj software GoAnywhere MFT a zajistily své prostředí proti potenciálním útokům.
The source of the article is from the blog elperiodicodearanjuez.es