Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
La utilidad GoAnywhere MFT de Fortra vulnerable al ransomware
5 de mayo de 2023 - Equipo de RRPP de TuxCare
Fortra ha descubierto una vulnerabilidad de ejecución remota de código (RCE) de día cero en su utilidad GoAnywhere MFT, de la que han abusado activamente los autores de ransomware para robar datos confidenciales.
El fallo de alta gravedad CVE-2023-0669 (puntuación CVSS: 7,2) está relacionado con la inyección de comandos preautenticados, que podría aprovecharse para la ejecución de código. La vulnerabilidad se parcheó en la versión 7.1.2 del software en febrero de 2023, pero no antes de que se hubiera convertido en un arma de día cero desde el 18 de enero.
El 30 de enero de 2023, Fortra afirmó que tuvo conocimiento de ciertas actividades cuestionables relacionadas con instancias específicas de transferencias de archivos. CVE-2023-0669 fue utilizado por una entidad no autorizada para crear cuentas de usuario no autorizadas en algunas configuraciones de clientes MFTaaS (Managed File Transfer as a Service). La entidad no autorizada, según la empresa, utilizó estas identidades de usuario para descargar archivos de sus entornos MFTaaS alojados para algunos de estos clientes.
Del 28 al 31 de enero, los atacantes también utilizaron otras dos herramientas, "Netcat" y "Errors.jsp". Aunque no todos los intentos de instalación tuvieron éxito, la vulnerabilidad fue explotada contra algunas instancias locales de la solución GoAnywhere MFT que ejecutaban una determinada configuración.
Fortra indicó que informó personalmente a los clientes afectados, y que no ha descubierto pruebas de acceso ilegal a los sistemas de los clientes que han recibido un "entorno MFTaaS limpio y seguro." Para solucionar el asunto, la empresa recomienda a los usuarios que realicen un ciclo de la clave maestra de cifrado, restablezcan todas las credenciales, examinen los registros de auditoría y eliminen cualquier cuenta de administrador o de usuario sospechosa.
En una evolución similar, Malwarebytes y NCC Group observaron un aumento de los asaltos de ransomware en marzo, debido sobre todo a la explotación activa de la vulnerabilidad MFT de GoAnywhere. En marzo de 2023 se registraron 459 asaltos, un 91% más que en febrero de 2023 y un 62% más que en marzo de 2022.
Tras explotar con éxito la vulnerabilidad de GoAnywhere, Cl0p, un proveedor de ransomware como servicio (RaaS), fue la amenaza más activa, con 129 víctimas en total. Royal, BlackCat, Play, Black Basta y BianLian también fueron variantes comunes de ransomware. Los atacantes de Cl0p ya penetraron en muchos objetivos en 2021 aprovechando vulnerabilidades de día cero en Accellion File Transfer Appliance (FTA).
Las fuentes de este artículo incluyen un artículo en TheHackerNews.
