0
0
A empresa de segurança em nuvem corporativa Qualys tornou-se a mais recente vítima a se juntar a uma longa lista de entidades a ter sofrido uma violação de dados depois que vulnerabilidades de dia zero em seu servidor Accellion File Transfer Appliance (FTA) foram exploradas para roubar documentos comerciais confidenciais.
Como prova de acesso aos dados, os cibercriminosos por trás dos recentes hacks direcionados aos servidores Accellion FTA compartilharam capturas de tela de arquivos pertencentes aos clientes da empresa em um site de vazamento de dados acessível ao público operado pela gangue de ransomware CLOP.
Confirmando o incidente, o Diretor de Segurança da Informação da Qualys, Ben Carr, disse que uma investigação detalhada “identificou o acesso não autorizado a arquivos hospedados no servidor Accellion FTA” localizado em um ambiente DMZ (zona também conhecida como zona demilitarizada) que é segregado do resto da rede interna.
“Com base nesta investigação, notificamos imediatamente o número limitado de clientes afetados por esse acesso não autorizado”, acrescentou Carr. “A investigação confirmou que o acesso não autorizado era limitado ao servidor FTA e não afetava nenhum serviço fornecido ou acesso aos dados do cliente hospedados pela Qualys Cloud Platform.”
No mês passado, a equipe de inteligência contra ameaças Mandiant da FireEye divulgou detalhes de quatro falhas de dia zero no aplicativo FTA que foram exploradas por atores de ameaças para montar uma ampla campanha de roubo e extorsão de dados, que envolveu a implantação de um shell da web chamado DEWMODE em redes de destino para exfiltrar dados confidenciais, seguido pelo envio de e-mails de extorsão para ameaçar as vítimas de pagar resgates de bitcoin, caso contrário, os dados roubados foram publicados no site de vazamento de dados.
Embora duas das falhas (CVE-2021-27101 e CVE-2021-27104) tenham sido abordadas pela Accellion em 20 de dezembro de 2020, as outras duas vulnerabilidades (CVE-2021-27102 e CVE-2021-27103) foram identificadas no início deste ano e corrigidas em 25 de janeiro.
Qualys disse que recebeu um “alerta de integridade” sugerindo um possível compromisso em 24 de dezembro, dois dias depois de aplicar o hotfix inicial em 22 de dezembro. A empresa não disse se recebeu mensagens de extorsão após a violação, mas disse que uma investigação sobre o incidente está em andamento.
“As vulnerabilidades exploradas eram de gravidade crítica porque estavam sujeitas a exploração por meio de execução remota de código não autenticada”, disse Mandiant em uma avaliação de segurança do software FTA publicada no início desta semana.
Além disso, a análise do código-fonte da Mandiant descobriu mais duas falhas de segurança anteriormente desconhecidas no software FTA, ambas corrigidas em um patch (versão 9.12.444) lançado em 1o de março —
- CVE-2021-27730: Uma vulnerabilidade de injeção de argumento (pontuação CVSS 6.6) acessível apenas a usuários autenticados com privilégios administrativos, e
- CVE-2021-27731: Uma falha de script entre sites armazenada (pontuação CVSS 8.1) acessível apenas a usuários autenticados regulares
A subsidiária de propriedade da FireEye está rastreando a atividade de exploração e o esquema de extorsão subsequente sob dois clusters de ameaças separados que chama de UNC2546 e UNC2582, respectivamente, com sobreposições identificadas entre os dois grupos e ataques anteriores realizados por um ator de ameaças financeiramente motivado chamado FIN11. Mas ainda não está claro qual conexão, se houver, os dois clusters podem ter com os operadores do ransomware Clop.
FONTE: THE HACKER NEWS