Zakres naruszenie umowy Accellion FTA teraz rozszerzył się na dostawcę usług bezpieczeństwa opartych na chmurze Qualys, który opublikował niektóre dane swoich klientów na ciemnej stronie internetowej prowadzonej przez gang ransomware Cl0p, jak donosi tytuł naszej siostry LeMagIT.
Qualys CISO Ben Carr potwierdził incydent na blogu informacyjnym, mówiąc, że firma korzystała ze starszej technologii przesyłania plików w wydzielonym środowisku do przesyłania plików związanych z obsługą klienta i nie była w żadnym momencie połączona z produkcyjnym środowiskiem danych klientów, Qualys Cloud Platform.
Carr powiedział, że Qualys zastosował poprawkę dostarczoną przez Accellion, aby zabezpieczyć swój serwer w dniu 22 grudnia 2020 r., Dzień po jego wydaniu, i podjął wówczas kroki w celu dalszego zwiększenia bezpieczeństwa, w tym zastosowania dodatkowych poprawek i skonfigurowania nowych alertów.
W Wigilię otrzymała alert o integralności, w którym to momencie całkowicie odizolowała serwer, którego dotyczy problem, i zapewniła alternatywy dla transferu plików związanego z obsługą.
„Qualys i Accellion przeprowadziły szczegółowe dochodzenie i zidentyfikowały nieautoryzowany dostęp do plików przechowywanych na serwerze Accellion FTA” – powiedział Carr. „Na podstawie tego dochodzenia natychmiast powiadomiliśmy ograniczoną liczbę klientów dotkniętych tym nieautoryzowanym dostępem.
„Dochodzenie potwierdziło, że nieautoryzowany dostęp był ograniczony do serwera FTA i nie wpłynął na żadne świadczone usługi ani dostęp do danych klientów hostowanych przez Qualys Cloud Platform”.
Carr dodał: „Jak w przypadku każdego incydentu związanego z bezpieczeństwem, dochodzenie jest w toku. Jako firma zajmująca się bezpieczeństwem nieustannie poszukujemy sposobów na zwiększenie bezpieczeństwa i zapewnienie najsilniejszej ochrony naszym klientom. Zaangażowaliśmy FireEye Mandiant, który również współpracował z Accellion nad szerszym dochodzeniem.
„Qualys przywiązuje dużą wagę do bezpieczeństwa swoich klientów i ich danych i powiadomimy ich, gdy pojawią się odpowiednie informacje”.
ImmuniWeb’s Ilia Kolochenko skomentował: „Reakcja Qualysa na incydent jest godnym pochwały przykładem przejrzystej i profesjonalnej obsługi incydentu bezpieczeństwa. Biorąc pod uwagę uczciwość obecnie ujawnionych okoliczności, nie widzę absolutnie żadnego powodu do paniki.
„Sam charakter incydentu sugeruje, że liczba klientów i innych stron trzecich, których dotyczy ten incydent, jest prawdopodobnie bardzo ograniczona. Co więcej, wrażliwe dane, takie jak raporty podatności lub hasła klientów, prawie na pewno pozostają nienaruszone.
„Tak więc zdecydowanie powstrzymałbym się od określania ataku jako naruszenia, ale raczej incydentu związanego z bezpieczeństwem. Dochodzenie przeprowadzone przez stronę trzecią najprawdopodobniej rzuci światło na sytuację i miejmy nadzieję, że przyniesie jeszcze więcej pewności klientom Qualys ”.
Qualys dołącza rosnąca liczba użytkowników produktu Accellion FTA, który wykrył dane skradzione przez cztery różne luki – dwie wykryte w grudniu 2020 r. i dwie w styczniu 2021 r. – opublikowane w witrynie Cl0p do zawstydzania ofiar.
Ale nadal nie ma jasnego wskazania dokładnego charakteru powiązania między gangiem Cl0p a osobami stojącymi za atakami Accellion, według Mandiant.
Od 1 marca Mandiant zakończył ocenę ataków Accellion – które można pobrać i przeczytać w całości tutaj.
Firma stwierdziła, że wszystkie znane luki w zabezpieczeniach FTA zostały naprawione po przeprowadzeniu szeroko zakrojonych testów penetracyjnych i przeglądu kodu, i nie zidentyfikowała żadnych dodatkowych luk w zabezpieczeniach, które zostały wykorzystane przez atakujących – chociaż znalazła dwie nowe luki (od czasu załatania), do których dostęp miał tylko uwierzytelnieni użytkownicy, więc nie ma dowodów na to, że zostali oni wykorzystani.
„Odkąd dowiedział się o tych atakach, nasz zespół przez całą dobę pracował nad opracowywaniem i wydawaniem poprawek, które usuwają każdą zidentyfikowaną lukę w FTA i wspierają naszych klientów dotkniętych tym incydentem” – powiedział Jonathan Yaron, dyrektor generalny Accellion.
„Chcę podziękować zespołowi Mandiant za współpracę ekspertów przy badaniu tego incydentu i przeglądaniu naszego oprogramowania, aby upewnić się, że wszystkie znane luki w zabezpieczeniach FTA zostały rzeczywiście zamknięte. Aby lepiej zapewnić bezpieczeństwo klientów w dzisiejszym dynamicznym środowisku zagrożeń, zdecydowaliśmy się przyspieszyć zakończenie obowiązywania umowy o wolnym handlu do 30 kwietnia 2021 r. I nadal stanowczo zachęcamy wszystkich klientów umów o wolnym handlu, którzy jeszcze tego nie zrobili, do jak najszybszego przejścia na platformę Kiteworks ”.
Kolochenko powiedział, że ataki łańcucha dostaw na użytkowników Accellion były trudne do wykrycia lub zapobieżenia, i jest prawdopodobne, że z czasem będzie się pojawiać coraz więcej ofiar.
„Niewątpliwie jeszcze więcej ofiar zostało już po cichu zhakowanych i są one po prostu nieświadome włamania” – powiedział. „Wymuszenia i publiczne groźby są ostatnią deską ratunku dla napastników, którym nie udało się szybko sprzedać łupu za dobrą cenę w ciemnej sieci i ścigać ofiarę w celu uzyskania okupu. Podobne ataki na łańcuch dostaw mogą wzrosnąć w 2021 r. ”
Oprócz migracji z Accellion FTA tak szybko, jak to możliwe, użytkownicy mogą również podjąć kroki w celu ochrony, tymczasowo izolując lub blokując dostęp do i z systemów hostujących oprogramowanie, oceniając swoje systemy pod kątem dowodów na jakąkolwiek złośliwą aktywność, która obejmuje ujawnione oznaki kompromisui obrazowanie systemu w celu zbadania.
W przypadku wykrycia złośliwej aktywności użytkownicy powinni rozważyć przeprowadzenie audytu kont użytkowników FTA pod kątem nieautoryzowanych zmian i zresetować hasła użytkowników i wszelkie tokeny bezpieczeństwa w systemie, a jeśli tego nie zrobili, zaktualizować FTA do wersji FTA_9_12_432 lub nowszej.
Rzecznik National Cyber Security Center powiedział: „NCSC jest zaangażowane w ochronę Wielkiej Brytanii przed cyberatakami i, współpracując z naszymi sojusznikami, będziemy nadal wzmacniać naszą obronę, aby uczynić nas najtrudniejszym możliwym celem.
„Zachęcamy klientów Accellion FTA w Wielkiej Brytanii do przestrzegania zalecanych środków zaradczych opisanych w tym dokumencie doradczy i zgłaszaj wszelkie podejrzane działania do NCSC. ”