0
0
Na semana passada, a Agência de Segurança Cibernética e Infraestrutura (CISA) adicionou três novas entradas ao seu catálogo de vulnerabilidades exploradas conhecidas. Entre eles estava o CVE-2023-0669 , um bug que abriu caminho para explorações e ataques de ransomware subsequentes contra centenas de organizações nas últimas semanas.
O bug foi descoberto no GoAnywhere, um software de compartilhamento de arquivos baseado no Windows da Fortra, anteriormente HelpSystems. De acordo com seu site, o GoAnywhere é usado em mais de 3.000 organizações para gerenciar documentos de todos os tipos. De acordo com dados da Enlyft , a maioria delas são grandes organizações – com pelo menos 1.000 e, muitas vezes, mais de 10.000 funcionários – a maioria sediada nos Estados Unidos.
O bug rastreado como CVE-2023-0669 permite que hackers executem código remotamente em sistemas de destino, pela internet, sem necessidade de autenticação. No momento em que este livro foi escrito, esta vulnerabilidade ainda não havia recebido uma classificação CVSS oficial do National Vulnerability Database.
Mas não precisamos nos perguntar o quão perigoso é, pois os hackers já atacaram. Em 10 de fevereiro – dias após o Fortra lançar um patch – a gangue Clop ransomware alegou ter explorado o CVE-2023-0669 em mais de 130 organizações.
Depois de três semanas e contando, não está claro se mais organizações ainda estão em risco.
Linha do tempo do(s) exploit(s) GoAnywhere
Em 2 de fevereiro, dois comandos anormais dispararam alertas em um ambiente de TI monitorado pela Huntress, fornecedora de detecção e resposta de endpoint (EDR). Ambos foram executados em um host designado para processar transações na plataforma GoAnywhere, embora o significado disso ainda não esteja claro.
“À primeira vista, o alerta em si era bastante genérico”, escreveu Joe Slowik , gerente de inteligência de ameaças da Huntress. “Mas uma análise mais aprofundada revelou um conjunto mais interessante de circunstâncias.”
Uma entidade nesta rede alertada tentou baixar um arquivo de um recurso remoto. Slowik e seus colegas tentaram acessar o arquivo por conta própria, mas a essa altura a porta usada para baixá-lo havia sido fechada. “Nós realmente não sabemos ao certo o porquê”, diz Slowik a Dark Reading. “É possível que o adversário estivesse trabalhando em um ritmo muito rápido.”
Eles tinham o endereço IP dessa entidade, no entanto, que remontava à Bulgária e foi sinalizado como malicioso pelo VirusTotal. O ator parecia ser de fora da organização e usou seu primeiro comando para baixar e executar um arquivo de biblioteca de vínculo dinâmico (DLL).
“Saber que a DLL também foi executada aumentou ainda mais o nível de risco do incidente”, diz Slowik, “já que se foi um malware que foi baixado, agora ele está sendo executado no sistema”.
Também havia outros sinais de que se tratava de um compromisso. Mas mesmo depois de isolar o servidor relevante, um segundo servidor na organização visada foi infectado. “Estávamos preocupados porque tínhamos um adversário muito persistente”, lembra Slowik.
Os pesquisadores ainda não tinham uma cópia do malware baixado, mas todas as evidências em torno dele pareciam estar de acordo com atividades anteriormente associadas a uma família de malware chamada Truebot. “A postagem na estrutura do URI que foi usada mapeou para amostras anteriores do Truebot”, diz Slowik. “As exportações de DLL que foram referenciadas para iniciar o malware, ou semelhantes a amostras históricas de tripés, bem como algumas strings e estruturas de código, todas correspondiam. Dentro das próprias amostras, tudo se alinhava muito bem com o que havia sido relatado anteriormente em 2022 para Truebot.”
O Truebot foi associado a um prolífico grupo russo chamado TA505 . Notavelmente, o TA505 utilizou o malware ransomware-as-a-service (RaaS) ” Clop ” em ataques anteriores.
No mesmo dia da investigação de Slowik, o repórter Brian Krebs publicou publicamente um comunicado que a Fortra havia enviado a seus usuários no dia anterior. O GoAnywhere estava sendo explorado, explicaram seus desenvolvedores, e eles estavam implementando uma interrupção temporária do serviço em resposta.
Quaisquer mitigações tomadas não foram suficientes. Em 10 de fevereiro, os hackers por trás do ransomware Clop disseram à Bleeping Computer que usaram o exploit GoAnywhere para invadir mais de organizações.
Como funciona o CVE-2023-0669
CVE-2023-0669 é uma falsificação de solicitação entre sites (CSRF), mas surge de como os usuários GoAnywhere sem patch instalam suas licenças de software.
Curiosamente, foi tanto uma escolha de design quanto um descuido. “Normalmente, a instalação de uma licença envolve o download de um arquivo de licença de um servidor e o upload para o seu dispositivo”, explica Ron Bowes, pesquisador de segurança líder da Rapid7, que divulgou a análise publicada mais detalhada de como um usuário interno poderia desencadear a exploração . “A Fortra optou por tornar todo esse processo transparente, onde a licença é entregue por meio do navegador do administrador. Isso significa que o usuário obtém uma experiência muito mais tranquila.”
No entanto, essa perfeição teve um custo. “Não há proteção CSRF (e o cookie não é realmente necessário, portanto, nenhuma autenticação é necessária para explorar esse problema)”, explicou Bowes em sua análise. “Isso significa que isso pode, por design, ser explorado por meio de falsificação de solicitação entre sites”.
Em seu relatório, a Rapid7 rotulou a capacidade de exploração dessa vulnerabilidade como “muito alta”.
“Embora a porta de administração não deva ser exposta à Internet”, diz Bowes, “é muito fácil configurá-la dessa forma por engano. E uma vez que um invasor entenda a vulnerabilidade, ela pode ser explorada sem qualquer risco de travar o aplicativo ou corromper dados.”
O Rapid7 também classificou como “muito alto” o valor de tal exploração para um invasor. Como Bowes explica, “devido à natureza do aplicativo (transferência gerenciada de arquivos ou MFT), é comum que um servidor GoAnywhere MFT fique em um perímetro de rede e tenha as portas de transferência de arquivos expostas publicamente. Isso o torna um bom alvo tanto para entrar na rede interna de uma organização quanto para roubar dados potencialmente confidenciais diretamente do alvo.”
Em 6 de fevereiro, a Fortra corrigiu o CVE-2023-0669 “adicionando o que eles chamam de ‘token de solicitação de licença'”, explica Bowes, “que está incluído na solicitação criptografada ao servidor da Fortra. Ele se comporta exatamente como um token CSRF, impedindo que um invasor aproveite o navegador de um administrador.”
O que fazer agora
Por mais grave que seja a exploração, apenas uma fração dos clientes do GoAnywhere é vulnerável a hackers externos por meio do CVE-2023-0669. No entanto, mesmo aqueles sem instâncias GoAnywhere expostas à Internet ainda estão vulneráveis a usuários internos ou invasores que obtiveram comprometimento inicial de uma rede por meio de navegadores da Web comuns.
O bug pode ser explorado remotamente se a porta de administração GoAnywhere de uma organização – 8000 ou 8001 – for exposta na Internet. Na semana passada, mais de 1.000 instâncias do GoAnywhere foram expostas, mas, explicou o Bleeping Computer, apenas 135 delas pertenciam às portas relevantes 8000 e 8001. A maioria das instâncias vulneráveis parece já ter sido varrida em uma grande campanha do Clop grupo.
“Aconselhamos urgentemente todos os clientes GoAnywhere MFT a aplicar este patch”, escreveu a Fortra em outro comunicado a seus clientes internos. “Particularmente para clientes que executam um portal de administração exposto à Internet, consideramos isso um assunto urgente.”
FONTE: DARK READING