Cobalt Strike-ի ետևում կանգնած ընկերությունը՝ Fortra-ն պարզաբանում է GoAnywhere MFT գործիքի zero-day remote կոդի կատարման (RCE) խոցելիությունը, որը կոնֆիդենցյալ տվլաների իրացման նպատակով հաքերների կողմից ենթարկվել է ակտիվ շահագործման:
CVE-2023-0669 (CVSS միավորը՝ 7.2) խոցելիությունը վերաբերում է նախապես վավերացված հրամանին, որը կարող է չարաշահվել կոդի կատարման ժամանակ: Ընկերության կողմից խնդիրը շտկվել է ծրագրային ապահովման 7.1.2 տարբերակում:
«Հաճախորդների MFTaaS միջավայրերում չթույլատրված օգտատերերի հաշիվներ ստեղծելու համար՝ չլիազորված կողմն օգտագործել է CVE-2023-0669-ը», – նշում է ընկերությունը: «Հաճախորդների որոշակի ենթախմբի համար չարտոնված կողմը MFTaaS միջավայրերից ֆայլեր ներբեռնելու համար օգտագործել է հենց այս օգտատերերի օգտահաշիվները»:
Թեև Netcat-ը օրինական ծրագիր է ցանցի միջոցով տվյալների ընթերցման համար, այնումենայնիվ դեռ հայտնի չէ, թե ինչպես է JSP ֆայլը կիրառվել նշված հարձակումներում:
Հետաքննությունը նաև պարզեց, որ CVE-2023-0669-ը շահագործվել է GoAnywhere MFT հատուկ կոնֆիգուրացիայով on-premise հրամաններ կատարելու դեմ:
Պարզաբանման ընթացքը տրվեց այն ժամանակ, երբ Malwarebytes -ը և NCC Group-ը բարձրաձայնեցին մարտ ամսվա ընթացքում ransomware-ների հարձակումների աճի մասին, ինչը հիմնականում պայմանավորված էր GoAnywhere MFT խոցելիության ակտիվ շահագործմամբ:
Ransomware-ների այլ տարածված տեսակներն են` Royal-ը, BlackCat-ը, Play-ը, Black Basta-ն և BianLian-ը:
Cl0p-ով առաջնորդվող հաքերները նախկինում օգտագործում էին՝ Accellion File Transfer Appliance (FTA)-ը zero-day խոցելիությունը շահարկելու համար:
Աղբյուրը՝ https://thehackernews.com/
