L'utilitaire MFT GoAnywhere de Fortra est vulnérable aux ransomwares
Fortra a découvert une vulnérabilité d'exécution de code à distance (RCE) dans son utilitaire GoAnywhere MFT, qui a été activement exploitée par les auteurs de ransomware pour voler des données sensibles.
Le bogue de haute sévérité CVE-2023-0669 (score CVSS : 7.2) est lié à l'injection de commande pré-authentifiée, qui pourrait être exploitée pour l'exécution de code. La vulnérabilité a été corrigée dans la version 7.1.2 du logiciel en février 2023, mais pas avant qu'elle n'ait été exploitée en tant que zero-day depuis le 18 janvier.
Le 30 janvier 2023, Fortra a déclaré avoir pris connaissance de certaines activités douteuses liées à des cas spécifiques de transferts de fichiers. CVE-2023-0669 a été utilisé par une entité non autorisée pour créer des comptes d'utilisateurs non autorisés dans certaines configurations de clients MFTaaS (Managed File Transfer as a Service). L'entité non autorisée, selon l'entreprise, a utilisé ces identités d'utilisateur pour télécharger des fichiers à partir de leurs environnements MFTaaS hébergés pour certains de ces clients.
Du 28 au 31 janvier, les attaquants ont également utilisé deux autres outils, "Netcat" et "Errors.jsp". Bien que toutes les tentatives d'installation n'aient pas abouti, la vulnérabilité a été exploitée contre quelques instances sur site de la solution GoAnywhere MFT qui exécutaient une certaine configuration.
Fortra a indiqué qu'elle avait personnellement informé les clients concernés et qu'elle n'avait découvert aucune preuve d'accès illégal aux systèmes des clients qui ont reçu un "environnement MFTaaS propre et sécurisé". Pour remédier à ce problème, l'entreprise recommande aux utilisateurs de modifier la clé de chiffrement principale, de réinitialiser toutes les informations d'identification, d'examiner les journaux d'audit et de supprimer tout compte d'administrateur ou d'utilisateur suspect.
Dans le même ordre d'idées, Malwarebytes et NCC Group ont observé une augmentation des agressions par ransomware en mars, principalement en raison de l'exploitation active de la vulnérabilité MFT de GoAnywhere. En mars 2023, 459 assauts ont été enregistrés, soit une hausse de 91 % par rapport à février 2023 et de 62 % par rapport à mars 2022.
Après avoir réussi à exploiter la vulnérabilité de GoAnywhere, Cl0p, un fournisseur de ransomware-as-a-service (RaaS), a été l'acteur le plus actif parmi les menaces repérées, avec 129 victimes au total. Royal, BlackCat, Play, Black Basta et BianLian sont également des variantes de ransomware courantes. Les attaquants de Cl0p ont déjà pénétré dans de nombreuses cibles en 2021 en exploitant des vulnérabilités zero-day dans Accellion File Transfer Appliance (FTA).
Les sources de cet article comprennent un article de TheHackerNews.