Bulletins

L'exploitation d'une vulnérabilité de type "zero-day" de GoAnywhere MFT est liée à des attaques de ransomware

bs1.jpg

GoAnywhere MFT de Fortra est un logiciel de déplacement de données en toute sécurité à l’intérieur et à l’extérieur de l’organisation.

Une exploitation d'une vulnérabilité de type "zero-day" dans le logiciel de transfert de fichiers géré (MFT) GoAnywhere a été liée par une société de cybersécurité à un groupe de cybercriminels connu qui a probablement tenté d'exploiter la faille dans une attaque par ransomware.

Fortra a alerté les utilisateurs de GoAnywhere MFT au sujet d'un exploit zero-day d'injection de code à distance. Le fournisseur a immédiatement fourni des indicateurs de compromission (IoC) et des mesures d'atténuation, mais n'a publié un correctif qu'une semaine plus tard.

Les utilisateurs, en particulier ceux qui utilisent un portail d'administration exposé à Internet, ont été invités à installer d'urgence le correctif.

Il semble qu'il y ait plus de 1 000 instances de GoAnywhere exposées à Internet. Cependant, selon le fournisseur, l'exploitation nécessite un accès à la console d'administration de l'application, et au moins certaines des instances exposées sont associées à l'interface client Web du produit, qui n'est pas touchée.

Aucune information n'a été communiquée au sujet des attaques exploitant la vulnérabilité, mais la société Huntress, spécialisée dans la détection et la réponse aux points finaux, a indiqué que ces attaques pourraient avoir été menées par un groupe de cybercriminels connu. La société est parvenue à cette conclusion après avoir analysé une attaque détectée dans l'environnement d'un client le 2 février.

Huntress a établi un lien entre l'attaque et une famille de logiciels malveillants nommée Truebot, qui était auparavant associée à un acteur de la menace russophone nommé Silence. Ce groupe a également été lié à TA505, un groupe de menaces connu pour avoir distribué le célèbre ransomware Cl0p.

La société de cybersécurité Rapid7 a analysé la vulnérabilité et lui a attribué l'identifiant CVE-2023-0669. Bien que le produit n'appartienne pas à Rapid7, la société est une autorité de numérotation CVE et elle peut attribuer des CVE aux failles trouvées dans les produits d'autres fournisseurs.