عوامل هکهای اخیر به عنوان مدارک برای اثبات دسترسی به دادهها و سرورهای Accellion FTA که مورد هدف قرار دادهاند، تصاویر صفحهای از فایلهای متعلق به مشتریان این شرکت را در یک وبسایت عمومی که توسط باند باجافزار CLOP اداره میشود به اشتراک گذاشتهاند.
Ben Carr رئیس امنیت اطلاعات Qualys با تأیید این حادثه گفت: طی یك تحقیق دقیق، یک دسترسی غیرمجاز به پروندههای میزبانی شده در سرور Accellion FTA را كه در یك محیط DMZ جدا از سایر شبکههای داخلی است را شناسایی کردهایم.
ما بر اساس این تحقیق، بلافاصله تعداد محدودی از مشتریان را كه تحت تأثیر این دسترسی غیرمجاز قرار گرفتهاند را آگاه كردیم. Carr افزود: تحقیقات تأیید كرد كه دسترسی غیرمجاز به سرور FTA محدود بوده و هیچ سرویس ارائه شده بر بستر ابر Qualys یا دادههای مشتریان را تحت تأثیر قرار نمیدهد.
ماه گذشته تیم Mandiant FireEye جزئیات چهار نقص امنیتی Zero-Day در برنامه FTA را که توسط برخی برای ایجاد یک کمپین گسترده سرقت داده و اخاذی، که شامل استقرار یک وبشل به نام DEWMODE در شبکههای هدف بود را فاش کرد.
و به دنبال آن مهاجم با ارسال ایمیلهای درخواست باج بصورت بیتکوین به قربانیان، آنها را به انتشار یا حذف دادهها تهدید میکرد.
دو مورد از نقصها (CVE-2021-27101 و CVE-2021-27104) توسط Accellion در ۲۰ دسامبر سال ۲۰۲۰ برطرف شد و دو آسیبپذیری دیگر (CVE-2021-27102 و CVE-2021-27103) در ۲۵ ژانویه سال جاری شناسایی و برطرف شدند.
Mandiant در ارزیابی امنیتی FTA که اوایل این هفته منتشر شد گفت: آسیبپذیریهای مورد نظر از نظر شدت، حیاتی بودند زیرا منجر به RCE میشدند.
علاوه بر این با تجزیه و تحلیل سورس کد، دو نقص امنیتی دیگر در نرمافزار FTA کشف شد که هر دو مورد در یک وصله FTA (نسخه ۹.۱۲.۴۴۴) که در تاریخ ۱ مارس منتشر شد، برطرف شدهاند:
- CVE-2021-27730: یک آسیبپذیری argument injection (CVSS 6.6) که فقط برای کاربران معتبر دارای امتیازات مدیریتی قابل دسترسی است و
- CVE-2021-27731: یک نقص cross-site scripting (CVSS 8.1) که فقط برای کاربران تایید شده قابل دسترسی است.
یک نظر