趕緊排查這個零日漏洞!全球已有130多家企業組織中招
據BleepingComputer 2月10日消息,Clop 勒索軟件組織最近利用 GoAnywhere MFT 安全文件傳輸工具中的零日漏洞,從 130 多個企業組織中竊取了數據。
該安全漏洞被追蹤為 CVE-2023-0669,攻擊者能夠在未修補的 GoAnywhere MFT 實例上遠程執行代碼,并將其管理控制臺暴露在互聯網中。
Clop向BleepingComputer透露,他們在攻擊系統服務器10天后竊取了相應數據,并稱還可以通過受害者網絡橫向移動,從而部署勒索軟件有效負載來加密系統。但他們并沒有這么做,只竊取了存儲在受感染的 GoAnywhere MFT 服務器上的數據。當BleepingComputer向他們詢問何時開始攻擊、索要多少贖金時,該組織拒絕透露這些信息。
BleepingComputer 無法獨立證實 Clop 的說法,GoAnywhere MFT的開發商 Fortra(以前稱為 HelpSystems)也未提供有關漏洞利用和勒索軟件組織的更多信息。
2月6日, CVE-2023-0669漏洞的PoC代碼被公開,Fortra在2月7日和2月8日分別發布了緊急更新,稱其部分 MFTaaS 實例也在攻擊中遭到破壞。CISA 已在2月10日正式將漏洞?添加到其已知被利用漏洞目錄中。
雖然 Shodan 顯示有超過 1000 個 GoAnywhere 實例被暴露,但只有 135 個在易受攻擊的 8000 和 8001端口上。
暴露于互聯網的 GoAnywhere MFT 設備 (Shodan)
此次Clop 勒索軟件攻擊被指與他們在 2020 年 12 月使用的策略非常相似,當時他們發現并利用Accellion FTA 零日漏洞竊取了大約 100 家公司的數據,包括能源巨頭殼牌公司(Shell)、零售巨頭克羅格(Kroger)、網絡安全公司 Qualys以及全球多所高校。
2021 年 6 月,在代號為“旋風行動”的國際執法行動之后,Clop 的部分基礎設施被封,當時 6 名為 Clop 勒索軟件團伙提供服務的人員在烏克蘭被捕。
