Una empresa de ciberseguridad vinculó la reciente explotación de una vulnerabilidad de día cero en el software de transferencia de archivos administrada (MFT) de GoAnywhere a un conocido grupo de ciberdelincuencia que probablemente intentó explotar la falla en un ataque de ransomware.
El 1 de febrero, Fortra alertó a los usuarios de GoAnywhere MFT sobre un exploit de inyección remota de código de día cero . El proveedor proporcionó de inmediato indicadores de compromiso (IoC) y mitigaciones, pero lanzó un parche solo una semana después.
Se ha indicado a los usuarios, en particular a aquellos que ejecutan un portal de administración que está expuesto a Internet, que instalen el parche con urgencia.
Parece haber más de 1000 instancias de GoAnywhere expuestas a Internet . Sin embargo, según el proveedor, la explotación requiere acceso a la consola de administración de la aplicación, y al menos algunas de las instancias expuestas están asociadas con la interfaz del cliente web del producto, que no se ve afectada.
No se puso a disposición información sobre los ataques que explotan la vulnerabilidad, pero la empresa de detección y respuesta de puntos finales administrados Huntress informó esta semana que estos ataques pueden haber sido realizados por un conocido grupo de delitos cibernéticos. La compañía llegó a la conclusión tras analizar un ataque detectado en el entorno de un cliente el pasado 2 de febrero.
Huntress vinculó el ataque a una familia de malware llamada Truebot, que anteriormente se asoció con un actor de amenazas de habla rusa llamado Silence . Este grupo también se ha relacionado con TA505 , un grupo de amenazas conocido por distribuir el notorio ransomware Cl0p .
“Según las acciones observadas y los informes anteriores, podemos concluir con confianza moderada que la actividad que observó Huntress tenía la intención de implementar ransomware, con una explotación oportunista potencialmente adicional de GoAnywhere MFT con el mismo propósito”, dijo Huntress en una publicación de blog.
La firma de ciberseguridad Rapid7 analizó la vulnerabilidad y le asignó el identificador CVE CVE-2023-0669 . Si bien el producto no pertenece a Rapid7, la empresa es una autoridad de numeración CVE y puede asignar CVE a fallas encontradas en los productos de otros proveedores.
fuente:securityweek