Security Firm Rubrik breached by Clop gang through GoAnywhere Zero-Day exploitation
2023/03/15 SecurityAffairs — 先日に公開された、Fortra GoAnywhere セキュア・ファイル転送プラットフォームのゼロデイ脆弱性を悪用したランサムウェア・グループが、サイバー・セキュリティ企業である Rubrik の企業データを盗み出すというデータ侵害を発生させた。Rubrik も、このゼロデイ脆弱性を悪用して、世界中の GoAnywhere MFT デバイスを標的とする大規模なキャンペーンの犠牲となった。同社は、サードパーティであるフォレンジック専門家の協力を得て、この事件の調査を直ちに開始した。
2023年2月の上旬に、調査員である Brian Krebs が、このゼロデイに関する詳細を Mastodonで明らかにしたが、依然として Fortra が、パブリック・アドバイザリを共有していないことも指摘された。
Fortra が公開した非公開アドバイザリによると、ゼロデイ脆弱性とは、GoAnywhere MFT に影響を与えるリモートコード・インジェクションに起因する欠陥だ。この脆弱性は、アプリケーションの管理コンソールにアクセスが可能な、攻撃者のみが悪用できるものでもある。
インターネットに公開されていない管理コンソールや、管理インターフェイスを持つインスタンスは安全だが、セキュリティ研究者である Kevin Beaumont が発見したのは、インターネットに面した約1000個のコンソールである。
Fortra は、GoAnywhere MFT の顧客に対して、すべての管理ユーザーを見直すこと、および、認識できないユーザー名の有無を、特に “system” で作成されたユーザー名の有無の監視することを推奨している。
Rubrik が発表した声明によると、この侵害は IT テスト環境にのみ影響を及ぼすものであり、直ちに収束されたとのことだ。
同社は、「GoAnywhere の脆弱性がもたらした結果として、当社の非本番 IT テスト環境の1つで、限られた情報に対する不正アクセスが検出された。重要なことは、第三者のフォレンジック専門家の協力を得て実施している調査により、Rubrik 製品を通じて顧客のために保護しているデータが、この不正アクセスには含まれないことが判明した点だ」と述べている。
さらに同社は、「現時点における調査の結果として、他の環境への横移動はなかったことが判明している。Rubrik は、関係する非本番環境をオフラインにし、自社のセキュリティシステムとソリューションを活用して、脅威を迅速に封じ込め、テスト環境を復旧させた」と付け加えている。
Rubrik は、盗まれたデータに含まれるものとして、社内の販売情報/特定の顧客およびパートナー企業の情報/販売代理店からの注文書の一部があるとしている。同社は、このセキュリティ侵害により、顧客データが影響を受けたと指摘している。
同社は、「この侵害に関係するデータは、主に Rubrik 社内の販売情報であり、特定の顧客/パートナーの名前/業務連絡先/販売代理店からの注文書の一部が含まれている。また、第三者によるフォレンジックにより、重要な機密データである、社会保障番号/金融口座番号/支払いカード番号などは流出していないことが確認されている。
このデータ漏洩に関する公表は、ランサムウェア・グループ Clop が Tor リークサイトの被害者リストに、Rubrik を追加した後に行われている。Clop は、ハッキングの証拠として、盗み出した文書のサンプルを公開している。
2023年2月に Clop ランサムウェア・グループは、Fortra のセキュア・ファイル転送ツール GoAnywhere MFT のゼロデイ脆弱性 CVE-2023-0669 を悪用し、130以上の組織から機密データを盗んだと、BleepingComputer に対して主張している。
Fortra の GoAnywhere MFT セキュア・ファイル転送の欠陥の悪用により侵入された組織としては、Hatch Bank/Community Health Systems がある。現時点において、Clops ランサムウェア・グループは、Hatch Bank を被害者リストに追加している。
GoAnywhere MFT の脆弱性を狙う攻撃が止まりません。2023/02/10 の「GoAnywhere MFT のゼロデイ脆弱性を悪用:130社からのデータ窃取を Clop が主張」に記されているように、Clop が主張するように 130社のデータが盗まれているとしたら、まだまだ被害が続くのかもしれません。
2023/03/02:Hatch Bank のデータ侵害:GoAnywhere
IoT OT Security News 
You must be logged in to post a comment.