La banda de ransomware conocida como Clop ha sido observada explotando una vulnerabilidad de inyección de comandos previa a la autenticación (CVE-2023-0669) en la solución de transferencia de archivos GoAnywhere MFT de Fortra.
La vulnerabilidad de alto nivel tiene una puntuación CVSS:3.1 de 7,2 y fue explotada contra varias empresas de EE.UU. y otros países, según un nuevo aviso de los expertos en seguridad de CloudSEK.
El fallo se deriva de un error de deserialización que puede explotarse enviando una solicitud de post al endpoint. CloudSEK advirtió que también está disponible un módulo de Metasploit para aprovecharse de la vulnerabilidad.
La empresa aclaró que sólo la interfaz administrativa de GoAnywhere era vulnerable al exploit utilizado por el grupo de ransomware Clop y no la interfaz de cliente web utilizada por la mayoría de la gente.
Aún así, los actores de amenazas podrían buscar interfaces de cliente web en Internet y luego tratar de encontrar paneles de administración en la misma IP.
Para mitigar el impacto de esta vulnerabilidad, CloudSEK aconsejó a los defensores del sistema actualizar sus máquinas a la última versión de GoAnywhere, así como dejar de exponer el puerto 8000 (la ubicación en Internet del panel de administración de GoAnywhere MFT).
Las cuentas de usuarios administradores también deben revisarse en busca de actividad sospechosa, como nombres de usuario no reconocidos, cuentas creadas por “sistemas” desconocidos, momentos sospechosos de creación de cuentas y superusuarios desactivados o inexistentes que creen cuentas.
El aviso de CloudSEK sigue a un informe publicado por Microsoft en octubre del año pasado que vinculaba a los actores del gusano Raspberry Robin con los grupos de ransomware Clop y LockBit.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian