rubrykadostawca usług zarządzania danymi w chmurze i bezpieczeństwa, ujawnił naruszenie ochrony danych, które można przypisać operacja ransomware Clop (alias Cl0p).wynikające z wcześniej zgłoszonego dnia zerowego w oprogramowaniu zarządzanego transferu plików (MFT) dostawcy zewnętrznego.
Kwestia znaleziona w GoAnywhere MFT firmy Fortra produkt, został po raz pierwszy przekazany firmie Rubrik w lutym 2023 r. Omawiany dzień zerowy, CVE-2023-0669to luka umożliwiająca wstrzyknięcie polecenia przed uwierzytelnieniem w Serwlecie odpowiedzi licencji firmy GoAnywhere prowadzące do zdalnego wykonania kodu (RCE).
Luka został załatany w wersji 7.1.2ale nie przed Clopem użył go w ponad 130 znanych cyberatakach. Wiadomo, że gang jest szczególnie stronniczy w wykorzystywaniu problemów w produktach i usługach związanych z przesyłaniem plików.
Rubrik – jedna z wielu firm technologicznych z tradycjami w zakresie pamięci masowych teraz wkracza w świat cyberbezpieczeństwa – powiedział, że jego dochodzenie wykazało, że osoba atakująca rzeczywiście uzyskała dostęp do jego systemów, wykorzystując lukę CVE-2023-0669,
Rubrik nie dał żadnych wskazówek, czy Clop uzyskał dostęp do swoich systemów, ani nie stwierdził wprost, że padł ofiarą ataku ransomware. Jednak gang jest zrozumiały aby umieścić Rubrika na swojej stronie z wyciekami w ciemnej sieci i może grozić ujawnieniem danych.
Michael Mestrovich, Rubrik CISO, powiedział: „Wykryliśmy nieautoryzowany dostęp do ograniczonej ilości informacji w jednym z naszych nieprodukcyjnych środowisk testowych IT w wyniku luki GoAnywhere.
„Co ważne, w oparciu o nasze bieżące dochodzenie, prowadzone z pomocą zewnętrznych ekspertów medycyny sądowej, nieautoryzowany dostęp nie obejmował żadnych danych, które zabezpieczamy w imieniu naszych klientów za pośrednictwem jakichkolwiek produktów Rubrik”.
Chociaż może tak być, analiza kryminalistyczna wykazała jednak, że ujawnione dane odnoszą się do niektórych klientów i partnerów dystrybucyjnych w formie wewnętrznych informacji o sprzedaży.
“[This] zawiera nazwy niektórych klientów i firm partnerskich, biznesowe dane kontaktowe oraz ograniczoną liczbę zamówień od dystrybutorów Rubrik” – powiedział Mestrovich.
„Firma zewnętrzna potwierdziła również, że żadne poufne dane osobowe, takie jak numery ubezpieczenia społecznego, numery kont finansowych lub numery kart płatniczych, nie zostały ujawnione”.
Mestrovich dodał, że śledztwo nie znalazło dowodów na to, że napastnik był w stanie wykonać jakikolwiek ruch boczny do innych środowisk. Powiedział, że środowisko nieprodukcyjne zostało natychmiast wyłączone, a własne systemy i rozwiązania Rubrika wykorzystano do powstrzymania zagrożenia i przywrócenia środowiska do pełnej sprawności.
„Jako firma zajmująca się cyberbezpieczeństwem, bezpieczeństwo danych klientów, które utrzymujemy, jest naszym najwyższym priorytetem. Jeśli otrzymamy dodatkowe, istotne informacje, zaktualizujemy ten post” – powiedział Mestrovich.
„Szczerze ubolewamy nad wszelkimi obawami, jakie może to spowodować, i jak zawsze doceniamy dalsze partnerstwo i cieszymy się na naszą dalszą współpracę”.
W e-mailowym oświadczeniu udostępnionym siostrzanemu tytułowi Computer Weekly Bezpieczeństwo TechTargetFortra powiedział, że podjął wiele kroków w celu usunięcia luki, w tym tymczasowe wyłączenie GoAnywhere w trybie offline, powiadomienie klientów, których dotyczy problem, i udostępnienie wskazówek dotyczących łagodzenia skutków.
Luka została również dodana do Agencji Bezpieczeństwa Cybernetycznego i Infrastruktury Stanów Zjednoczonych (CISA) Znane luki w zabezpieczeniach katalogu, co oznacza, że agencje rządu federalnego USA są zobowiązane do załatania go w określonym terminie.
To, że pojawiła się na radarze CISA, oznacza, że luka jest uważana za wyjątkowo niebezpieczną, więc użytkownicy Fortra GoAnywhere powinni priorytetowo potraktować działania zaradcze.