Специализирующаяся на корпоративной облачной безопасности компания Qualys стала жертвой взлома и присоединилась к длинному списку организаций, пострадавших от утечки данных после того как уязвимости нулевого дня на сервере Accellion File Transfer Appliance (FTA) были использованы для кражи конфиденциальных бизнес-документов.
В качестве доказательства доступа к данным злоумышленники, стоящие за недавними взломами серверов Accellion FTA, выложили скриншоты принадлежащих клиентам компании файлов на общедоступном веб-сайте по утечкам данных, управляемом хакерской группой «CLOP».
Подтверждая факт инцидента, главный специалист по информационной безопасности компании Qualys Бен Карр заявил, что детальное расследование «выявило несанкционированный доступ к файлам, размещенным на сервере Accellion FTA», расположенном в отделенной от остальной части внутренней сети DMZ.
«Основываясь на этом расследовании, мы немедленно уведомили ограниченное число клиентов, пострадавших от этого несанкционированного доступа», - добавил Карр. «Расследование подтвердило, что неавторизованный доступ был ограничен FTA-сервером и не повлиял ни на предоставляемые услуги, ни на доступ к данным клиентов, размещенным на Qualys Cloud Platform».
В прошлом месяце команда специалистов по борьбе с угрозами FireEye Mandiant раскрыла подробности о четырех 0-day уязвимостях приложения FTA, которые были использованы злоумышленниками для проведения широкомасштабной кампании по краже данных и вымогательству. Атака включала в себя развертывание веб-оболочки под названием DEWMODE в целевых сетях для извлечения конфиденциальных данных, а затем отправку писем с требованиями заплатить выкуп в биткойнах и угрозами в случае невыплаты выкупа разместить украденные данные в общем доступе.
Две уязвимости (CVE-2021-27101 и CVE-2021-27104) были устранены Accellion 20 декабря 2020 года, две другие уязвимости (CVE-2021-27102 и CVE-2021-27103) были выявлены и исправлены в этом году 25 января.
Компания Qualys не сообщила, получала ли она сообщения с требованиями выкупа после нарушения, но сообщила, что расследование инцидента продолжается.
«Примененные в атаке уязвимости крайне критичны, так как позволили произвести неаутентифицированное удаленное выполнение кода», - сообщил Мандиант в оценке безопасности программного обеспечения FTA, опубликованной ранее на этой неделе.
Кроме того, анализ исходного кода выявил еще две ранее неизвестных уязвимости в безопасности программного обеспечения FTA, обе из которых были исправлены в патче FTA версии 9.12.444, выпущенном 1 марта 2021:
- CVE-2021-27730: уязвимость инъекции аргументов (рейтинг CVSS 6.6), доступная только аутентифицированным пользователям с административными привилегиями
- CVE-2021-27731: баг хранимого межсайтового скриптинга (оценка CVSS 8.1), доступный только обычным аутентифицированным пользователям.
Дочерняя компания FireEye отслеживает эксплуатацию и последующую схему вымогательства в рамках двух отдельных групп угроз, которые она называет соответственно UNC2546 и UNC2582, при этом было выявлено дублирование между этими двумя группами и предыдущими нападениями, совершенными злоумышленником, известным под никнеймом FIN11. Однако до сих пор неясно, какую связь, если таковая существует, эти два кластера угроз могут иметь с группой «CLOP».
Перевод сделан со статьи: https://thehackernews.com
