Hitachi Energy breached by Clop gang through GoAnywhere Zero-Day exploitation
2023/03/17 SecurityAffairs — 日立エネルギーが公表したデータ漏洩は、先日に公表された GoAnywhere MFT (Managed File Transfer) のゼロデイ脆弱性を悪用する、ランサムウェア集団 Clop にハッキングされデータを盗まれたというものだ。同社も、このゼロデイ脆弱性の悪用により、世界中の GoAnywhere MFT デバイスを標的とする、Clop の大規模キャンペーンの犠牲者となった。
日立エネルギーが発表した声明によると、「サードパーティーのソフトウェア FORTRA GoAnywhere MFT (Managed File Transfer) が、CLOP ランサムウェア・グループによる攻撃の犠牲となり、一部の国々で従業員データに不正アクセスされる恐れが、最近になって判明した。このインシデントを検知した後に、当社は直ちに行動を起こし、独自の調査を開始した。影響を受ける可能性のある従業員には通知を行い、サポートを提供している。また、データプ・ライバシーとセキュリティについては、法執行当局に通知し、関連するステークホルダーと引き続き協力していく」と記されている。
日立エネルギーは、直ちにインシデントの調査を開始し、侵害されたシステムの接続を解除した。同社は、法執行機関およびデータ保護監視機関にデータ侵害を報告した。ただし、同社は、ネットワーク運用や顧客データに対するセキュリティ侵害は生じていないと指摘している。
Fortra が公開した非公開アドバイザリによると、ゼロデイ脆弱性とは、GoAnywhere MFT に影響を与えるリモートコード・インジェクションに起因する欠陥だ。この脆弱性は、アプリケーションの管理コンソールにアクセスが可能な、攻撃者のみが悪用できるものでもある。
インターネットに公開されていない管理コンソールや、管理インターフェイスを持つインスタンスは安全だが、セキュリティ研究者である Kevin Beaumont が発見したのは、インターネットに面した約1000個のコンソールである。
Fortra は、GoAnywhere MFT の顧客に対して、すべての管理ユーザーを見直すこと、および、認識できないユーザー名の有無を、特に “system” で作成されたユーザー名の有無の監視することを推奨している。
2023年2月に Clop ランサムウェア・グループは、Fortra のセキュア・ファイル転送ツール GoAnywhere MFT のゼロデイ脆弱性 CVE-2023-0669 を悪用し、130以上の組織から機密データを盗んだと、BleepingComputer に対して主張している。
Fortra の GoAnywhere MFT セキュア・ファイル転送の欠陥の悪用により侵入された組織としては、Hatch Bank/Community Health Systems がある。現時点において、Clops ランサムウェア・グループは、Hatch Bank と Rubrik を被害者リストに追加している。
Clop が主張するように 130社のデータが盗まれているとしたら、まだまだ被害が続くのかと思っていましたが、今度は日本に飛び火しました。どこまで行けば止まるのかと、心配になってきます。
2023/03/15:セキュリティ企業の Rubrik が3番目の被害者
2023/03/02:Hatch Bank のデータ侵害:GoAnywhere
2023/02/10:GoAnywhere MFT:130社からのデータ窃取
IoT OT Security News 
You must be logged in to post a comment.