ClickCease L'utilitaire MFT GoAnywhere de Fortra est vulnérable aux ransomwares

Rejoignez notre populaire bulletin d'information

Rejoignez plus de 4 500 professionnels de Linux et de l'Open Source!

2 fois par mois. Pas de spam.

L'utilitaire MFT GoAnywhere de Fortra est vulnérable aux ransomwares

par

Le 5 mai 2023 - L'équipe de relations publiques de TuxCare

Fortra a découvert une vulnérabilité d'exécution de code à distance (RCE) dans son utilitaire GoAnywhere MFT, qui a été activement exploitée par les auteurs de ransomware pour voler des données sensibles.

Le bogue de haute sévérité CVE-2023-0669 (score CVSS : 7.2) est lié à l'injection de commande pré-authentifiée, qui pourrait être exploitée pour l'exécution de code. La vulnérabilité a été corrigée dans la version 7.1.2 du logiciel en février 2023, mais pas avant qu'elle n'ait été exploitée en tant que zero-day depuis le 18 janvier.

Le 30 janvier 2023, Fortra a déclaré avoir pris connaissance de certaines activités douteuses liées à des cas spécifiques de transferts de fichiers. CVE-2023-0669 a été utilisé par une entité non autorisée pour créer des comptes d'utilisateurs non autorisés dans certaines configurations de clients MFTaaS (Managed File Transfer as a Service). L'entité non autorisée, selon l'entreprise, a utilisé ces identités d'utilisateur pour télécharger des fichiers à partir de leurs environnements MFTaaS hébergés pour certains de ces clients.

Du 28 au 31 janvier, les attaquants ont également utilisé deux autres outils, "Netcat" et "Errors.jsp". Bien que toutes les tentatives d'installation n'aient pas abouti, la vulnérabilité a été exploitée contre quelques instances sur site de la solution GoAnywhere MFT qui exécutaient une certaine configuration.

Fortra a indiqué qu'elle avait personnellement informé les clients concernés et qu'elle n'avait découvert aucune preuve d'accès illégal aux systèmes des clients qui ont reçu un "environnement MFTaaS propre et sécurisé". Pour remédier à ce problème, l'entreprise recommande aux utilisateurs de modifier la clé de chiffrement principale, de réinitialiser toutes les informations d'identification, d'examiner les journaux d'audit et de supprimer tout compte d'administrateur ou d'utilisateur suspect.

Dans le même ordre d'idées, Malwarebytes et NCC Group ont observé une augmentation des agressions par ransomware en mars, principalement en raison de l'exploitation active de la vulnérabilité MFT de GoAnywhere. En mars 2023, 459 assauts ont été enregistrés, soit une hausse de 91 % par rapport à février 2023 et de 62 % par rapport à mars 2022.

Après avoir réussi à exploiter la vulnérabilité de GoAnywhere, Cl0p, un fournisseur de ransomware-as-a-service (RaaS), a été l'acteur le plus actif parmi les menaces repérées, avec 129 victimes au total. Royal, BlackCat, Play, Black Basta et BianLian sont également des variantes de ransomware courantes. Les attaquants de Cl0p ont déjà pénétré dans de nombreuses cibles en 2021 en exploitant des vulnérabilités zero-day dans Accellion File Transfer Appliance (FTA).

Les sources de cet article comprennent un article de TheHackerNews.

Résumé
L'utilitaire MFT GoAnywhere de Fortra est vulnérable aux ransomwares
Nom de l'article
L'utilitaire MFT GoAnywhere de Fortra est vulnérable aux ransomwares
Description
Fortra, une société de cybersécurité, a découvert une vulnérabilité d'exécution de code à distance (RCE) dans son utilitaire GoAnywhere MFT.
Auteur
Nom de l'éditeur
de TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Devenez rédacteur invité de TuxCare

Courrier

Aidez-nous à comprendre
le paysage Linux !

Répondez à notre enquête sur l'état de l'Open Source et vous pourrez gagner l'un des nombreux prix, dont le premier est d'une valeur de 500 $ !

Votre expertise est nécessaire pour façonner l'avenir d'Enterprise Linux !