Empresa de seguridad en la nube empresarial Calificaciones se ha convertido en la última víctima en unirse a una larga lista de entidades que han sufrido una violación de datos después de que se explotaran las vulnerabilidades de día cero en su servidor Accellion File Transfer Appliance (FTA) para robar documentos comerciales confidenciales.
Como prueba de acceso a los datos, los ciberdelincuentes detrás de los ataques recientes dirigidos a los servidores Accellion FTA han compartido capturas de pantalla de archivos pertenecientes a los clientes de la empresa en un sitio web de fuga de datos de acceso público operado por la banda de ransomware CLOP.
Al confirmar el incidente, el director de seguridad de la información de Qualys, Ben Carr, dijo que una investigación detallada «identificó un acceso no autorizado a los archivos alojados en el servidor Accellion FTA» ubicado en un entorno DMZ (también conocido como zona desmilitarizada) que está segregado del resto de la red interna.
«Con base en esta investigación, notificamos de inmediato al número limitado de clientes afectados por este acceso no autorizado», agregó Carr. «La investigación confirmó que el acceso no autorizado se limitó al servidor FTA y no afectó ningún servicio proporcionado ni el acceso a los datos de los clientes alojados en Qualys Cloud Platform».
El mes pasado, el equipo de inteligencia de amenazas Mandiant de FireEye reveló detalles de cuatro fallas de día cero en la aplicación FTA que fueron explotadas por actores de amenazas para montar una campaña de extorsión y robo de datos de gran alcance, que implicó la implementación de un shell web llamado DEWMODE en redes objetivo para exfiltrar datos confidenciales, seguido del envío de correos electrónicos de extorsión para amenazar a las víctimas con el pago de rescates de bitcoin, en caso contrario, los datos robados se publicaron en el sitio de fuga de datos.
Si bien Accellion solucionó dos de las fallas (CVE-2021-27101 y CVE-2021-27104) el 20 de diciembre de 2020, las otras dos vulnerabilidades (CVE-2021-27102 y CVE-2021-27103) se identificaron a principios de este año. y fijado el 25 de enero.
Qualys dijo que recibió una «alerta de integridad» que sugiere un posible compromiso el 24 de diciembre, dos días después de que aplicó la revisión inicial el 22 de diciembre. La compañía no dijo si recibió mensajes de extorsión a raíz de la violación, pero dijo que una investigación en el incidente está en curso.
«Las vulnerabilidades explotadas fueron de gravedad crítica porque estaban sujetas a explotación a través de la ejecución remota de código no autenticado», dijo Mandiant en una evaluación de seguridad del software FTA publicada a principios de esta semana.
Además, el análisis del código fuente de Mandiant descubrió dos fallas de seguridad más previamente desconocidas en el software FTA, las cuales se rectificaron en un parche (versión 9.12.444) lanzado el 1 de marzo:
- CVE-2021-27730: una vulnerabilidad de inyección de argumentos (puntaje CVSS 6.6) accesible solo para usuarios autenticados con privilegios administrativos, y
- CVE-2021-27731: Una falla de secuencias de comandos entre sitios almacenada (puntaje CVSS 8.1) accesible solo para usuarios autenticados regulares
La subsidiaria propiedad de FireEye está rastreando la actividad de explotación y el esquema de extorsión de seguimiento bajo dos grupos de amenazas separados que llama UNC2546 y UNC2582, respectivamente, con superposiciones identificadas entre los dos grupos y ataques anteriores llevados a cabo por un actor de amenazas con motivación financiera denominado FIN11. . Pero aún no está claro qué conexión, si es que hay alguna, pueden tener los dos grupos con los operadores del ransomware Clop.
