Getty Resimleri
ABD’deki en büyük hastane zincirlerinden biri, bilgisayar korsanlarının GoAnywhere adlı bir kurumsal yazılım ürünündeki bir güvenlik açığından yararlanarak 1 milyon hastanın korumalı sağlık bilgilerini ele geçirdiğini söyledi.
Franklin, Tennessee Toplum Sağlık Sistemleri, bir dosyalama Saldırının Fortra’nın büyük kuruluşlara lisansladığı yönetilen bir dosya aktarım ürünü olan GoAnywhere MFT’yi hedef aldığını Pazartesi günü Menkul Kıymetler ve Borsa Komisyonu ile görüştü. Dosyalama, şu ana kadar devam eden bir soruşturmanın, saldırının muhtemelen 1 milyon kişiyi etkilediğini ortaya çıkardığını söyledi. Ele geçirilen veriler, Sağlık Sigortası Taşınabilirlik ve Hesap Verebilirlik Yasası tarafından tanımlanan korunan sağlık bilgilerini ve ayrıca hastaların kişisel bilgilerini içeriyordu.
İki hafta önce, gazeteci Brian Krebs Mastodon’da dedi o siber güvenlik firması Fortra müşterilere, şirketin kısa bir süre önce GoAnywhere’i hedef alan “sıfır gün uzaktan kod enjeksiyon açığı” öğrendiğini bildiren özel bir uyarı yayınlamıştı. Güvenlik açığı o zamandan beri atama kazandı CVE-2023-0669. Fortra yamalı 7.1.2 sürümü ile 7 Şubat’ta güvenlik açığı.
“Bu açıktan yararlanmanın saldırı vektörü, uygulamanın yönetim konsoluna erişim gerektirir; bu konsola çoğu durumda yalnızca özel bir şirket ağından, VPN aracılığıyla veya izin verilenler listesindeki IP adreslerinden (örneğin, bulut ortamlarında çalışırken) erişilebilir. Azure veya AWS),” dedi Krebs tarafından alıntılanan danışma belgesi. “Yönetici arayüzünüz herkese açık olsaydı ve/veya bu arayüze uygun erişim kontrolleri uygulanamazsa” bilgisayar korsanlarının mümkün olduğunu söylemeye devam etti.
Fortra’nın saldırıların çoğu durumda yalnızca bir müşterinin özel ağında mümkün olduğunu söylemesine rağmen, Community Health Systems dosyalamasında Fortra’nın “bir güvenlik olayı yaşamış” ve “Fortra ihlalini” doğrudan şirketten öğrenmiş olan varlık olduğu belirtildi.
“Fortra tarafından yaşanan güvenlik ihlalinin bir sonucu olarak, Korunan Sağlık Bilgileri (“PHI”) (Sağlık Sigortası Taşınabilirlik ve Hesap Verebilirlik Yasası (“HIPAA”) tarafından tanımlandığı şekliyle) ve belirli hastaların “Kişisel Bilgileri” (“PI”) Şirketin bağlı kuruluşlarının yüzde 10’u Fortra’nın saldırganı tarafından ifşa edildi.”
Fortra yetkilileri, tam olarak hangi şirketin ağının ihlal edildiğine ilişkin açıklama isteyen bir e-postada şunları yazdı: “30 Ocak 2023’te, GoAnywhere MFTaaS çözümümüzün belirli örneklerinde şüpheli faaliyetlerden haberdar olduk. Daha fazla yetkisiz etkinliği önlemek için bu hizmette geçici bir kesinti uygulamak, etkilenmiş olabilecek tüm müşterileri bilgilendirmek ve kurum içi müşterilerimize bizim uygulamalarımıza ilişkin talimatları içeren hafifletme kılavuzunu paylaşmak dahil olmak üzere, bu sorunu çözmek için hemen birden fazla adım attık. yakın zamanda geliştirilen yama.” Açıklama ayrıntı vermedi.
Fortra, Pazartesi günkü SEC dosyasında yayınlananların ötesinde yorum yapmayı reddetti.
Geçen hafta, güvenlik firması Huntress bildirildi müşterilerinden birinin yaşadığı bir ihlalin, büyük olasılıkla CVE-2023-0669 olan bir GoAnywhere güvenlik açığından yararlanılmasının sonucu olduğu. İhlal, 2 Şubat’ta, Krebs’in Mastodon’a özel tavsiyeyi göndermesiyle aşağı yukarı aynı zamanda meydana geldi.
Huntress, saldırıda kullanılan kötü amaçlı yazılımın, Silence olarak bilinen bir tehdit grubu tarafından kullanılan Truebot olarak bilinen bir ailenin güncellenmiş bir versiyonu olduğunu söyledi. Sessizlik, sırasıyla, bağlar TA505 olarak izlenen bir grup ve TA505’in bir fidye yazılımı grubu olan Clop ile bağları var.
Huntress araştırmacısı, “Gözlemlenen eylemlere ve önceki raporlara dayanarak, Huntress’in gözlemlediği etkinliğin, aynı amaçla GoAnywhere MFT’nin potansiyel olarak ek fırsatçı istismarıyla fidye yazılımı dağıtmayı amaçladığı sonucuna varabiliriz.” Joe Slowick yazdı
Clop’un sorumlu olduğuna dair daha fazla kanıt gelen Uyku Bilgisayarı. Geçen hafta yayın, Clop üyelerinin 130 kuruluşu hacklemek için CVE-2023-0669’u kullanma sorumluluğunu üstlendiğini ancak iddiayı destekleyecek hiçbir kanıt sağlamadığını söyledi.
bir analiz, güvenlik şirketi Rapid7’den araştırmacılar, güvenlik açığını, istismar edilebilirlik ve saldırgan değeri için “çok yüksek” derecelendirmelere sahip bir “kimlik doğrulama öncesi seri kaldırma sorunu” olarak tanımladı. Saldırganların bu güvenlik açığından yararlanabilmesi için GoAnywhere MFT’nin yönetim bağlantı noktasına (varsayılan olarak, bağlantı noktası 8000) ağ düzeyinde erişime veya dahili bir kullanıcının tarayıcısını hedefleyebilmeye ihtiyacı vardır.
Saldırıların kolaylığı ve etkili bir şekilde serbest bırakılması göz önüne alındığında kavram kanıtı kodu Kritik güvenlik açığından yararlanan GoAnywhere kullanan kuruluşlar tehdidi ciddiye almalıdır. Yama, elbette saldırıları önlemenin en etkili yoludur. GoAnywhere kullanıcılarının hemen yama uygulayamamaları durumunda alabilecekleri geçici önlemler, yönetici bağlantı noktasına ağ düzeyinde erişimin mümkün olan en az sayıda kullanıcıyla sınırlandırılmasını sağlamak ve tarayıcı kullanıcılarının güvenlik açığı bulunan son noktaya erişimini kaldırmaktır. web.xml dosyası.