سلطت Fortra ، الشركة التي تقف وراء Cobalt Strike ، الضوء على ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد (RCE) في أداة GoAnywhere MFT الخاصة بها والتي تعرضت للاستغلال النشط من قبل الجهات الفاعلة في برامج الفدية لسرقة البيانات الحساسة.
يتعلق الخلل شديد الخطورة ، الذي تم تتبعه كـ CVE-2023-0669 (درجة CVSS: 7.2) ، بحالة إدخال أمر مصدق مسبقًا يمكن إساءة استخدامه لتحقيق تنفيذ التعليمات البرمجية. تم تصحيح المشكلة من قبل الشركة في الإصدار 7.1.2 من البرنامج في فبراير 2023 ، ولكن ليس قبل أن يتم تسليحها كاليوم صفر منذ 18 يناير.
قالت شركة Fortra ، التي عملت مع Palo Alto Networks Unit 42 ، إنها علمت بالنشاط المشبوه المرتبط ببعض حالات نقل الملفات في 30 يناير 2023.
وقالت الشركة: "استخدم الطرف غير المصرح به CVE-2023-0669 لإنشاء حسابات مستخدمين غير مصرح بها في بعض بيئات عملاء MFTaaS" . "بالنسبة لمجموعة فرعية من هؤلاء العملاء ، استفاد الطرف غير المصرح به من حسابات المستخدمين هذه لتنزيل الملفات من بيئات MFTaaS المستضافة."
كما أساء ممثل التهديد استخدام الخلل لنشر أداتين إضافيتين ، أطلق عليهما اسم " Netcat " و "Errors.jsp" ، بين 28 يناير 2023 و 31 يناير 2023 ، على الرغم من أنه لم يُقال إن كل محاولة تثبيت كانت ناجحة.
قالت Fortra إنها تواصلت مباشرة مع العملاء المتضررين ، ولم تجد أي علامة على الوصول غير المصرح به إلى أنظمة العملاء التي تم إعادة توفيرها "بيئة MFTaaS نظيفة وآمنة".
بينما يعد Netcat برنامجًا شرعيًا لإدارة قراءة البيانات وكتابتها عبر شبكة ، إلا أنه من غير المعروف حاليًا كيفية استخدام ملف JSP في الهجمات.
وجد التحقيق أيضًا أنه تم استغلال CVE-2023-0669 ضد عدد صغير من التطبيقات المحلية التي تشغل تكوينًا محددًا لحل GoAnywhere MFT.
كوسيلة للتخفيف ، توصي الشركة المستخدمين بتدوير مفتاح التشفير الرئيسي ، وإعادة تعيين جميع بيانات الاعتماد ، ومراجعة سجلات التدقيق ، وحذف أي مسؤول أو حسابات مستخدم مشبوهة.
يأتي هذا التطور في الوقت الذي أبلغت فيه Malwarebytes و NCC Group عن ارتفاع في هجمات برامج الفدية خلال شهر مارس ، ويرجع ذلك إلى حد كبير إلى الاستغلال النشط لثغرة GoAnywhere MFT.
تم تسجيل إجمالي 459 هجومًا الشهر الماضي وحده ، بزيادة قدرها 91٪ عن فبراير 2023 وقفز بنسبة 62٪ مقارنةً بشهر مارس 2022.
وقالت مجموعة إن سي سي : "نجح موفر برامج الفدية كخدمة (RaaS) ، Cl0p ، في استغلال ثغرة GoAnywhere وكان أكثر الفاعلين نشاطاً في التهديد ، حيث بلغ إجمالي الضحايا 129 ضحية".
تمثل فورة استغلال Cl0p المرة الثانية التي يخرج فيها LockBit من المركز الأول منذ سبتمبر 2021. ومن سلالات برامج الفدية السائدة الأخرى Royal و BlackCat و Play و Black Basta و BianLian.
تجدر الإشارة إلى أن الجهات الفاعلة في Cl0p قد استغلت سابقًا عيوب اليوم الصفري في Accellion File Transfer Appliance (FTA) لاختراق عدة أهداف في عام 2021.