기술 지원
문서
로그인
문의하기
랜섬웨어에 취약한 Fortra의 GoAnywhere MFT 유틸리티
2023년 5월 5일 TuxCare 홍보팀
Fortra는 랜섬웨어 공격자들이 민감한 데이터를 탈취하기 위해 적극적으로 악용하고 있는 GoAnywhere MFT 유틸리티의 제로데이 원격 코드 실행(RCE) 취약점을 발견했습니다.
CVE-2023-0669(CVSS 점수: 7.2)의 심각도가 높은 버그는 코드 실행에 악용될 수 있는 사전 인증된 명령어 인젝션과 관련이 있습니다. 이 취약점은 2023년 2월 소프트웨어 버전 7.1.2에서 패치되었지만, 1월 18일 이후 제로 데이로 무기화되기 전에는 패치되지 않았습니다.
2023년 1월 30일, 포트라는 파일 전송의 특정 인스턴스와 관련된 의심스러운 활동을 알게 되었다고 주장했습니다. 권한이 없는 주체가 CVE-2023-0669를 사용하여 일부 MFTaaS(서비스로서의 관리형 파일 전송) 클라이언트 설정에서 권한이 없는 사용자 계정을 생성했습니다. 권한이 없는 주체는 이러한 사용자 ID를 사용하여 일부 클라이언트를 위해 호스팅된 MFTaaS 환경에서 파일을 다운로드했습니다.
공격자들은 1월 28일부터 1월 31일까지 "Netcat"과 "Errors.jsp"라는 두 가지 툴도 추가로 사용했습니다. 모든 설치 시도가 성공한 것은 아니지만, 특정 구성을 실행 중인 몇 개의 온프레미스 GoAnywhere MFT 솔루션 인스턴스에 대해 이 취약점이 악용되었습니다.
Fortra는 영향을 받은 고객에게 개인적으로 이 사실을 알렸으며, "깨끗하고 안전한 MFTaaS 환경"이 제공된 고객 시스템에 불법적으로 액세스했다는 증거는 발견하지 못했다고 밝혔습니다. 이 문제를 해결하기 위해 사용자들에게 마스터 암호화 키를 주기적으로 교체하고, 모든 자격 증명을 재설정하고, 감사 로그를 검토하고, 의심스러운 관리자 또는 사용자 계정을 삭제할 것을 권장합니다.
이와 비슷한 맥락에서 Malwarebytes와 NCC Group은 3월에 랜섬웨어 공격이 증가했으며, 이는 대부분 GoAnywhere MFT 취약점을 적극적으로 악용했기 때문이라고 분석했습니다. 2023년 3월에는 459건의 공격이 등록되었으며, 이는 2023년 2월에 비해 91%, 2022년 3월에 비해 62% 증가한 수치입니다.
고애니웨어 취약점을 성공적으로 익스플로잇한 후, 서비스형 랜섬웨어(RaaS) 제공업체인 Cl0p는 총 129명의 피해자를 발생시키며 가장 활발하게 활동한 위협 행위자였습니다. Royal, BlackCat, Play, Black Basta, BianLian도 흔한 랜섬웨어 변종입니다. Cl0p 공격자는 이미 2021년에 Accellion 파일 전송 어플라이언스(FTA)의 제로데이 취약점을 악용하여 많은 표적을 침해했습니다.
이 글의 출처는 TheHackerNews의 기사입니다.
