Fortra опубликовала вскрытие взлома GoAnywhere, в результате которого были скомпрометированы данные конечных пользователей в январе и феврале.
Австралийские организации, затронутые утечкой данных, включают департамент образования Тасмании, Rio Tinto и Crown Resorts.
Компания заявила, что атака использовала уязвимость нулевого дня. CVE-2023-0669что, по его словам, является «уязвимостью внедрения команд до аутентификации… из-за десериализации произвольного объекта, контролируемого злоумышленником».
Fortra впервые обнаружила подозрительную активность 30 января 2023 года, но после последующего расследования обнаружила, что локальные клиенты с веб-интерфейсами администрирования GoAnywhere были взломаны еще 18 января.
В своем анализFortra заявила: «Наше первоначальное расследование показало, что неавторизованная сторона использовала CVE-2023-0669 для создания неавторизованных учетных записей пользователей в некоторых клиентских средах MFTaaS.
«Для части этих клиентов неавторизованная сторона использовала эти учетные записи пользователей для загрузки файлов из своих размещенных сред MFTaaS».
На некоторых жертвах злоумышленники также установили в свои системы два дополнительных инструмента: утилиту Netcat и Errors.jsp.
Компания заявила, что там, где были найдены эти инструменты, она работала с клиентами над их удалением.
Компания заявила, что после исправления клиенты должны менять свой главный ключ шифрования; сбросить все учетные данные, в том числе для партнеров; просматривать журналы аудита; и удалите все «подозрительные учетные записи администратора и/или веб-пользователя».
По словам компании, если клиент сохранил учетные данные для каких-либо других систем в своем экземпляре, эти учетные данные также должны быть отозваны.
Читать полную новость на сайте
