Os operadores de ransomware Clop afirmam estar por trás de ataques recentes a uma vulnerabilidade de dia 0 na ferramenta de transferência segura de arquivos GoAnywhere MFT.
Os hackers afirmam que graças a esse bug eles roubaram os dados de 130 organizações.
Também informamos que Explorações para vulnerabilidades em três populares WordPress Plugins apareceram na rede.
Como um lembrete, Vá para qualquer lugar MFT é uma ferramenta de transferência de arquivos projetada para ajudar organizações a compartilhar arquivos com segurança com parceiros e manter trilhas de auditoria de quem acessou arquivos compartilhados. Por trás de sua criação está Fortra (anteriormente conhecido como Sistemas de Ajuda), que também desenvolve o conhecido e amplamente utilizado Golpe de Cobalto ferramenta, voltado para pentesters e Equipa vermelha, e focado na operação e pós-operação.
No início de fevereiro, ficou conhecido que Os desenvolvedores do Fortra descobriram um Exploração RCE e ataques ao GoAnywhere MFT, após o que eles foram forçados a desativar temporariamente seu serviço SaaS.
Ao mesmo tempo, foi enfatizado que a exploração da vulnerabilidade requer acesso ao console administrativo, que em condições normais não deveriam ser acessíveis através da Internet. No entanto, Shodan detecta sobre 1000 instâncias GoAnywhere disponíveis na Internet (embora apenas cerca 140 instalações foram vistas em portos 8000 e 8001, quais são os padrões usados pelo console de administração afetado).
Em fevereiro 7, 2023, Fortra lançou um patch de emergência por esta 0-dia vulnerabilidade (7.1.2) e instou todos os clientes a instalá-lo o mais rápido possível.
Conforme relatado agora, a vulnerabilidade eventualmente recebeu o identificador CVE-2023-0669 e de fato permite que invasores executem remotamente código arbitrário no GoAnywhere MFT se o console administrativo estiver aberto para acesso via Internet.
Computador bipando jornalistas escrevem isso clop operadores de ransomware disseram a eles que explorou com sucesso esse bug para hackear muitas empresas diferentes.
Os hackers também afirmaram que poderiam usar a vulnerabilidade para navegar pelas redes de suas vítimas e implantar cargas exorbitantes., mas decidiram não fazer isso e limitaram-se a roubar documentos armazenados em servidores GoAnywhere MFT comprometidos.
A publicação não conseguiu confirmar ou negar as afirmações dos hackers, e os representantes do Fortra não responderam às cartas solicitando informações adicionais sobre os ataques a CVE-2023-0669.
No entanto, Percebe-se que Inteligência de ameaças da Huntress especialista Joe Slowik foi capaz para vincular os ataques ao GoAnywhere MFT com o TA505 grupo, que era anteriormente conhecido por implantar o ransomware Clop nas redes de suas vítimas.
A mídia também escreveu que Exploração PoC para PlayStation 5 Apareceu, mas funciona apenas em 30% de casos.