Хакерская группировка Clop утверждает, что стоит за кибератаками, которые использовали уязвимость «нулевого дня» в инструменте безопасной передачи файлов GoAnywhere MFT.
Хакеры сообщили изданию BleepingComputer, что за 10 дней взломали сервера и украли данные более 130 организаций. Они также утверждают, что могут перемещаться по сетям жертв и развертывать программы-вымогатели для шифрования систем, но отказались от этого, украв только документы, хранящиеся на скомпрометированных серверах GoAnywhere MFT. Группировка не предоставила никаких доказательства проникновения и краж и не дала изданию BleepingComputer дополнительных комментариев. Не ответил на запросы журналистов и производитель инструмента, компания Fortra.
Уязвимость CVE-2023-0669 в системе безопасности инструмента позволяет злоумышленникам удаленно выполнять код на неисправленных экземплярах GoAnywhere MFT, когда их административная консоль открыта для доступа в Интернет.
Компания Fortra, производитель GoAnywhere MFT, ранее сообщила, что эта уязвимость активно эксплуатировалась как уязвимость «нулевого дня». В экстренном порядке были выпущены несколько обновлений безопасности, Fortra также предоставила индикаторы компрометации для потенциально затронутых клиентов.
Компания сообщила, что неизвестные получили доступ к ее системам с помощью ранее неизвестного эксплойта и создали неавторизованные учетные записи пользователей. Из соображений безопасности произведено временное отключение скомпрометированных служб, ведется расследование инцидента. Проводится восстановление и проверка систем для каждого отдельного клиента с целью смягчения последствий кибератаки.
Менеджер Huntress Threat Intelligence Джо Словик связал атаки на GoAnywhere MFT с хакерской группировкой TA505, которая ранее развертывала вымогатель Clop, используя загрузчик вредоносных программ TrueBot.
CISA внесла уязвимость CVE-2023-0669 GoAnywhere MFT в каталог известных эксплуатируемых уязвимостей, все федеральные агентства США должны обновить свои системы до 3 марта 2023 г.
Инструмент GoAnywhere MFT используется крупными компаниями и учебными заведениями США. Поисковая система Shodan находит более одной тысячи экземпляров GoAnywhere в сети, однако только 135 из них подключены к портам 8000 и 8001, которые используются уязвимой консолью администратора.