خبرکاو:

یک عملیات باج افزار پربار با ترفندهای قدیمی - و قربانیان جدید - بازگشته است.

Community Health Systems (CHS)، یکی از بزرگترین ارائه دهندگان مراقبت های بهداشتی در ایالات متحده با نزدیک به 80 بیمارستان در 16 ایالت، این هفته تایید کرد که هکرهای جنایتکار به اطلاعات شخصی و محافظت شده سلامت یک میلیون بیمار دسترسی داشته اند.

غول مراقبت‌های بهداشتی مستقر در تنسی در پرونده‌ای با تنظیم‌کننده‌های دولتی بيان کرد که نقض داده‌ها ناشی از استفاده آن از یک نرم‌افزار انتقال فایل محبوب به نام GoAnywhere MFT است که توسط Fortra (که قبلاً به عنوان HelpSystems شناخته می‌شد) ایجاد شده است که توسط مشاغل بزرگ برای اشتراک‌گذاری استفاده می‌شود. و مجموعه بزرگی از داده ها را به صورت ایمن ارسال کنید. Community Health Systems بيان کرد که Fortra اخیراً از یک حادثه امنیتی که منجر به افشای غیرمجاز داده‌های بیمار شده است، اطلاع داده است.

بر اساس گزارشی که توسط Community Health Systems منتشر شد، که اولین بار توسط DataBreaches.net مشاهده شد، در نتیجه نقض امنیتی که توسط Fortra تجربه شد، اطلاعات بهداشتی محافظت شده و اطلاعات شخصی برخی از بیماران وابسته به شرکت توسط مهاجم Fortra افشا شد. این غول مراقبت های بهداشتی گفت که خدمات حفاظت از سرقت هویت را ارائه می دهد و به همه افراد آسیب دیده که اطلاعات آنها در معرض قرار گرفته است اطلاع می دهد، اما بيان کرد که هیچ وقفه ای در ارائه مراقبت از بیمار ایجاد نشده است.

CHS نگفته است که چه نوع داده هایی در معرض دید قرار گرفته اند و یک سخنگوی هنوز به سؤالات TechCrunch پاسخ نداده است. این دومین نقض شناخته شده CHS از داده های بیمار در سال های اخیر است.

باند باج‌افزار مرتبط با روسیه، Clop، مسئولیت بهره‌برداری از روز صفر جدید را در یک کمپین هک جدید بر عهده گرفته است و ادعا می‌کند که قبلاً بیش از صد سازمان را که از فناوری انتقال فایل Fortra استفاده می‌کنند - از جمله CHS، نقض کرده است.

در حالی که CHS به سرعت به عنوان یک قربانی مطرح شده است، ادعای کلوپ نشان می‌دهد که ممکن است ده‌ها سازمان تحت تأثیر بیشتر وجود داشته باشد - و اگر شما یکی از هزاران کاربر GoAnywhere هستید، شرکت شما می‌تواند در میان آنها باشد. خوشبختانه، کارشناسان امنیتی مجموعه ای از اطلاعات را در مورد روز صفر و کارهایی که می توانید برای محافظت در برابر آن انجام دهید به اشتراک گذاشته اند.

آسیب پذیری GoAnywhere چیست؟

جزئیات آسیب‌پذیری روز صفر در نرم‌افزار GoAnywhere Fortra - که با نام CVE-2023-0669 ردیابی می‌شود - برای اولین بار توسط روزنامه‌نگار امنیتی برایان کربس در 2 فوریه پرچم‌گذاری شد. کربس در پستی در Mastodon متن کامل مشاوره امنیتی فورترا را به اشتراک گذاشت. روز قبل، که از وب سایت عمومی آن قابل دسترسی نیست. در عوض، کاربران مجبور بودند برای دسترسی به گزارش آسیب‌پذیری، یک حساب کاربری Fortra ایجاد کنند، حرکتی که توسط کارشناسان امنیت سایبری مورد انتقاد شدید قرار گرفته است.

Fortra در مشاوره پنهان خود گفت: "یک سوء استفاده از تزریق کد از راه دور روز صفر در GoAnywhere MFT شناسایی شد." «بردار حمله این اکسپلویت نیاز به دسترسی به کنسول اداری برنامه دارد، که در بیشتر موارد فقط از داخل یک شبکه شرکت خصوصی، از طریق VPN، یا با آدرس‌های IP فهرست شده (هنگامی که در محیط‌های ابری اجرا می‌شود، مانند Azure یا AWS).

شرکت امنیت سایبری Rapid7 در تحلیل فنی این نقص که در 7 فوریه منتشر شد، با توجه به حساسیت داده‌هایی که شرکت‌ها از طریق GoAnywhere ارسال می‌کنند، قابلیت بهره‌برداری از باگ - و ارزش برای مهاجم - را «بسیار بالا» توصیف کرد.

محققان امنیتی سریعاً این آسیب‌پذیری را به یک نقص روز صفر قبلی تشبیه کردند که بر دستگاه انتقال فایل قدیمی Accellion (FTA) تأثیر می‌گذاشت که مانند GoAnywhere به سازمان‌ها اجازه می‌داد تا به طور ایمن مجموعه‌های داده حساس را به اشتراک بگذارند. باند باج افزار Clop در سال 2020 با سوء استفاده از نقص Accellion برای نفوذ به تعدادی از سازمان ها از جمله Qualys، Shell، دانشگاه کلرادو، Kroger و Morgan Stanley پیدا شد.

حالا گروه باج‌افزاری Clop - که اخیراً با نسخه جدید لینوکس خود سرفصل خبرها شد - به Bleeping Computer بيان کرد که قبلاً از آسیب‌پذیری GoAnywhere برای سرقت داده‌های بیش از 130 سازمان سوء استفاده کرده است. Clop مدرکی برای ادعای خود ارائه نکرد و در زمان نگارش سایت تاریک وب نشت Clop هیچ اشاره ای به Fortra یا GoAnywhere نکرده است.

Fortra به سوالات TechCrunch پاسخ نداد.

آیا باید نگران باشم؟

نگرانی در مورد قابلیت بهره برداری از آسیب پذیری GoAnywhere اغراق آمیز نبوده است.

شرکت امنیت سایبری Huntress هفته گذشته گزارش داد که یک نفوذ به شبکه یک مشتری شامل بهره برداری از GoAnywhere zero-day را تحلیل کرده است. هانترس این نفوذ را به یک بازیگر تهدید کننده روسی زبان که «سکوت» می نامد مرتبط دانست که با گروه دیگری به نام TA505 پیوند دارد، یک خدمه هک جنایتکار که حداقل از سال 2016 فعال بوده و به خاطر کمپین های هدفمند شامل استقرار شناخته شده است. باج افزار Clop

جو اسلوویک، مدیر اطلاعات تهدید در گفت: «بر اساس اقدامات مشاهده‌شده و گزارش‌های قبلی، می‌توانیم با اطمینان متوسط ​​نتیجه بگیریم که فعالیتی که هانترس مشاهده کرده است برای استقرار باج‌افزار بوده است، با بهره‌برداری فرصت‌طلبانه بیشتری از GoAnywhere MFT برای همین هدف». شکارچی

هانترس بيان کرد که تا حدی با توجه به سادگی این آسیب‌پذیری، پیش‌بینی می‌کند که اکنون که بهره‌برداری GoAnywhere zero-day به طور فعال مورد بهره‌برداری قرار می‌گیرد، «فعالیت گسترده‌تری» ببیند.

وصله های امنیتی موجود است

Fortra یک پچ اضطراری - نسخه 7.1.2 - را در 7 فوریه منتشر کرد و از همه مشتریان GoAnywhere خواست تا در اسرع وقت این اصلاح را اعمال کنند. این شرکت گفت: «به ویژه برای مشتریانی که یک پورتال مدیریتی در معرض اینترنت دارند، ما این موضوع را یک موضوع فوری می‌دانیم.

در همین حال، آژانس امنیت سایبری ایالات متحده CISA، نقص GoAnywhere را به کاتالوگ عمومی آسیب‌پذیری‌های مورد سوء استفاده شناخته شده خود اضافه کرده است و به همه سازمان‌های اجرایی غیرنظامی فدرال دستور داده است تا سیستم‌های خود را قبل از 3 مارس اصلاح کنند.

خبرکاو

منبع