La empresa de seguridad en la nube empresarial Qualys se ha convertido en la última víctima en unirse a una larga lista de entidades que han sufrido una violación de datos después de que se explotaran las vulnerabilidades de día cero en su servidor Accellion File Transfer Appliance (FTA) para robar documentos comerciales confidenciales.
Como prueba de acceso a los datos, los ciberdelincuentes detrás de los ataques recientes dirigidos a los servidores Accellion FTA han compartido capturas de pantalla de archivos pertenecientes a los clientes de la empresa en un sitio web de filtración de datos de acceso público operado por la banda de ransomware CLOP.
Al confirmar el incidente, el director de seguridad de la información de Qualys, Ben Carr, dijo que una investigación detallada «identificó el acceso no autorizado a archivos alojados en el servidor Accellion FTA» ubicado en un entorno DMZ (también conocido como zona desmilitarizada ) que está separado del resto de la red interna.
«Basándonos en esta investigación, notificamos de inmediato el número limitado de clientes afectados por este acceso no autorizado», agregó Carr. «La investigación confirmó que el acceso no autorizado se limitó al servidor FTA y no afectó a los servicios prestados ni al acceso a los datos de los clientes alojados en Qualys Cloud Platform».
El mes pasado, el equipo de inteligencia de amenazas Mandiant de FireEye reveló detalles de cuatro fallas de día cero en la aplicación FTA que fueron explotadas por los actores de amenazas para montar una amplia campaña de robo de datos y extorsión, que involucró la implementación de un shell web llamado DEWMODE en redes objetivo para exfiltrar datos confidenciales, y luego enviar correos electrónicos de extorsión para amenazar a las víctimas con el pago de rescates de bitcoins, en su defecto, los datos robados se publicaron en el sitio de filtración de datos.
Si bien Accellion abordó dos de las fallas (CVE-2021-27101 y CVE-2021-27104) el 20 de diciembre de 2020, las otras dos vulnerabilidades (CVE-2021-27102 y CVE-2021-27103) se identificaron a principios de este año. y fijado el 25 de enero.
Qualys dijo que recibió una «alerta de integridad» que sugiere un posible compromiso el 24 de diciembre, dos días después de que se aplicó la revisión inicial el 22 de diciembre. La compañía no dijo si recibió mensajes de extorsión a raíz de la violación, pero dijo un La investigación del incidente está en curso.
«Las vulnerabilidades explotadas eran de gravedad crítica porque estaban sujetas a explotación a través de la ejecución de código remoto no autenticado», dijo Mandiant en una evaluación de seguridad del software FTA publicada a principios de esta semana.
Además, el análisis del código fuente de Mandiant descubrió dos fallas de seguridad más desconocidas previamente en el software FTA, las cuales han sido rectificadas en un parche (versión 9.12.444) lanzado el 1 de marzo:
- CVE-2021-27730 : Una vulnerabilidad de inyección de argumentos (puntuación CVSS 6.6) accesible solo para usuarios autenticados con privilegios administrativos, y
- CVE-2021-27731 : una falla almacenada de secuencias de comandos entre sitios (puntuación CVSS 8.1) accesible solo para usuarios habituales autenticados
La subsidiaria propiedad de FireEye está rastreando la actividad de explotación y el esquema de extorsión de seguimiento bajo dos grupos de amenazas separados que llama UNC2546 y UNC2582, respectivamente, con superposiciones identificadas entre los dos grupos y ataques anteriores llevados a cabo por un actor de amenazas con motivaciones financieras denominado FIN11 . Pero todavía no está claro qué conexión, si la hay, pueden tener los dos grupos con los operadores del ransomware Clop.
Fuente: https://thehackernews.com/2021/03/extortion-gang-breaches-cybersecurity.html
