Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
GoAnywhere MFT Utility von Fortra anfällig für Ransomware
5. Mai 2023. TuxCare PR Team
Fortra hat eine Zero-Day-Remote-Code-Execution-Schwachstelle (RCE) in seinem GoAnywhere MFT-Dienstprogramm entdeckt, die von Ransomware-Angreifern aktiv zum Diebstahl sensibler Daten missbraucht wurde.
Der hochgradig gefährliche Fehler CVE-2023-0669 (CVSS-Score: 7.2) steht im Zusammenhang mit der Einschleusung vorauthentifizierter Befehle, die zur Codeausführung ausgenutzt werden können. Die Schwachstelle wurde im Februar 2023 in der Softwareversion 7.1.2 gepatcht, aber nicht bevor sie seit dem 18. Januar als Zero-Day-Waffe eingesetzt wurde.
Am 30. Januar 2023 wurde Fortra nach eigenen Angaben auf bestimmte fragwürdige Aktivitäten im Zusammenhang mit bestimmten Dateiübertragungsvorgängen aufmerksam. CVE-2023-0669 wurde von einem nicht autorisierten Unternehmen verwendet, um nicht autorisierte Benutzerkonten in einigen MFTaaS (Managed File Transfer as a Service) Client-Konfigurationen zu erstellen. Nach Angaben des Unternehmens nutzte der Unbefugte diese Benutzeridentitäten, um für einige dieser Kunden Dateien aus ihren gehosteten MFTaaS-Umgebungen herunterzuladen.
Vom 28. bis 31. Januar verwendeten die Angreifer außerdem zwei weitere Tools, "Netcat" und "Errors.jsp". Obwohl nicht alle Installationsversuche erfolgreich waren, wurde die Schwachstelle gegen einige Instanzen der GoAnywhere MFT-Lösung vor Ort ausgenutzt, die eine bestimmte Konfiguration ausführten.
Fortra gab an, die betroffenen Kunden persönlich informiert zu haben und keine Hinweise auf einen illegalen Zugriff auf Kundensysteme gefunden zu haben, die mit einer "sauberen und sicheren MFTaaS-Umgebung" ausgestattet waren. Um die Angelegenheit anzugehen, empfiehlt das Unternehmen den Benutzern, den Master Encryption Key zu zyklieren, alle Anmeldeinformationen zurückzusetzen, Audit-Protokolle zu überprüfen und alle verdächtigen Admin- oder Benutzerkonten zu löschen.
In ähnlicher Weise beobachteten Malwarebytes und die NCC Group im März einen Anstieg der Ransomware-Angriffe, der hauptsächlich auf die aktive Ausnutzung der GoAnywhere MFT-Schwachstelle zurückzuführen ist. Im März 2023 wurden 459 Angriffe registriert, ein Anstieg um 91 % gegenüber Februar 2023 und um 62 % gegenüber März 2022.
Nach der erfolgreichen Ausnutzung der GoAnywhere-Schwachstelle war Cl0p, ein Ransomware-as-a-Service (RaaS)-Anbieter, mit insgesamt 129 Opfern der aktivste Bedrohungsakteur, der entdeckt wurde. Royal, BlackCat, Play, Black Basta und BianLian waren ebenfalls häufige Ransomware-Varianten. Cl0p-Angreifer sind bereits 2021 in viele Ziele eingedrungen, indem sie Zero-Day-Schwachstellen in Accellion File Transfer Appliance (FTA) ausgenutzt haben.
Zu den Quellen für diesen Beitrag gehört ein Artikel in TheHackerNews.
