Xakep #305. Многошаговые SQL-инъекции
Операторы шифровальщика Clop утверждают, что стоит за недавними атаками на 0-day уязвимость в инструменте для безопасной передачи файлов GoAnywhere MFT. Хакеры заявляют, что благодаря этому багу похитили данные 130 организаций.
Напомню, что GoAnywhere MFT — это инструмент для передачи файлов, разработанный с целью помочь организациям безопасно обмениваться файлами с партнерами и вести журналы аудита того, кто получил доступ к общим файлам. За его созданием стоит компания Fortra (ранее известная как HelpSystems), которая также разрабатывает известный и широко используемый инструмент Cobalt Strike, предназначенный для пентестеров и red team, и ориентированный на эксплуатацию и постэксплуатацию.
В начале февраля стало известно, что разработчики Fortra обнаружили RCE-эксплоит и атаки на GoAnywhere MFT, после чего были вынуждены временно отключить свой SaaS-сервис. При этом подчеркивалось, что эксплуатация уязвимости требует доступа к административной консоли, которая в нормальных условиях вообще не должна быть доступна через интернет. Однако Shodan обнаруживает в интернете около 1000 доступных экземпляров GoAnywhere (хотя на портах 8000 и 8001, которые по умолчанию используются уязвимой консолью администратора, замечено только около 140 установок).
7 февраля 2023 года Fortra выпустила экстренный патч для этой 0-day уязвимости (7.1.2) и призвала всех клиентов установить его как можно скорее.
Как сообщается теперь, уязвимость в итоге получила идентификатор CVE-2023-0669 и действительно позволяет злоумышленникам удаленно выполнять произвольный код в GoAnywhere MFT, если административная консоль открыта для доступа через интернет.
Журналисты издания Bleeping Computer пишут, что операторы шифровальщика Clop сообщили им, что успешно эксплуатировали этот баг для взлома множества различных компаний. Также хакеры заявили, что могли использовать уязвимость для перемещения по сетям своих жертв и развертывания вымогательских полезных нагрузок, но решили не делать этого и ограничились только кражей документов, хранящихся на скомпрометированных серверах GoAnywhere MFT.
Изданию не удалось подтвердить или опровергнуть заявления хакеров, а представители Fortra не ответили на письма с просьбой предоставить дополнительную информацию об атаках на CVE-2023-0669.
Однако отмечается, что эксперт Huntress Threat Intelligence Джо Словик (Joe Slowik) сумел связать атаки на GoAnywhere MFT с группировкой TA505, в прошлой известной тем, что она развертывала в сетях своих жертв шифровальщик Clop.