Actualités

Cl0p : variante du ransomware qui exploite une vulnérabilité 0-day depuis les FTAs d’Accellion via le Web-Shell… Qualys impacté !

En Octobre 2020, Software AG était en proie avec le ransomware Cl0p. Au tour de Qualys de confirmer une brèche de données relative au ransomware… sans pour autant évoquer une fuite effective de données.

 

 

“Qualys a confirmé qu’il n’y avait aucun impact sur les environnements de production Qualys (plateformes partagées et plateformes privées), la base de code, les données clients hébergées sur la plateforme Qualys Cloud, les agents Qualys ou les scanners. Toutes les plateformes Qualys continuent d’être pleinement fonctionnelles et à aucun moment il n’y a eu d’impact opérationnel […] La vulnérabilité zero-day affectant Accellion a été découverte par Accellion dans l’environnement d’un autre client et un correctif pour corriger la vulnérabilité a été publié le 21 décembre 2020. L’équipe informatique de Qualys a appliqué le correctif pour sécuriser notre serveur Accellion FTA le 22 décembre 2020. De plus, Qualys a encore amélioré les mesures de sécurité en déployant des correctifs supplémentaires et en activant des alertes supplémentaires autour du serveur FTA. Nous avons reçu une alerte d’intégrité le 24 décembre 2020 et le serveur FTA impacté a été immédiatement isolé du réseau. En conséquence, Qualys a fermé les serveurs Accellion FTA concernés et a proposé des alternatives aux clients pour le transfert de fichiers lié au support. Qualys et Accellion ont mené une enquête détaillée et identifié des accès non autorisés aux fichiers hébergés sur le serveur Accellion FTA. Sur la base de cette enquête, nous avons immédiatement notifié le nombre limité de clients touchés par cet accès non autorisé. L’enquête a confirmé que l’accès non autorisé était limité au serveur FTA et n’avait aucun impact sur les services fournis ou l’accès aux données client hébergées par Qualys Cloud Platform“, est-il mentionné dans le communiqué (mis à jour), de Qualys et datant du 3 Mars 2021. Une enquête est en cours.

La vulnérabilité a été initialement mise en lumière par Mandiant (via FireEye) : depuis la mi-Décembre 2020, elle retraçait un groupe de cyber-attaquants nommés UNC2546 qui exploitait une faille 0-day sous les File Transfer Appliance. Il s’agit d’outils qui permettent d’optimiser certains paramètres ou certaines données en externalisant (via une sorte de mode hors ligne : hors du réseau des serveurs traditionnels Accellion) une partie de ces outils. Une parenthèse logistique qui a permis à certaines personnes de cibler des informations de choix en intégrant un Web-Shell nommé DEWMODE qui s’instillera dans deux emplacements (selon les observations faites) : /home/seos/courier/about.html et /home/httpd/html/about.html. Si, à l’époque, l’équipe sécuritaire ne faisait légitimement aucun lien avec ce type d’installation c’est en voyant apparaître, fin Janvier 2021, un remonté de cyber-attaque par ransomware évoquant le Web-Shell incriminé que la corrélation a pu être faite. Du fait de la vulnérabilité et du service-même (FTA remontant à 20 ans d’existence), Accellion en a profité pour annoncer l’arrêt définitif de ce type de fichier au 30 Avril 2021, ce qui prouve que la faille est-était extrêmement critique. De plus, dans le billet de FireEyes, bien que Qualys réfute le fait d’exfiltration de données, il est mentionné que “l’activité d’exfiltration a affecté des entités dans un large éventail de secteurs et de pays“.

 

Quatre vulnérabilités sont concernées dont une de type SSRF : CVE-2021-27101, CVE-2021-27102, CVE-2021-27103 et CVE-2021-27104. Après l’injection MySQL (certains indices sont repérables depuis les journaux Web du FTA qui intégrera les appels ou requêtes sous URLs chiffrées avec les mentions – code – de dwn ou fn) entraînant l’installation du Web-Shell, la seconde phase s’amorce via une demande de rançon. C’est là que Cl0p entre en scène (UNC2582) : toujours selon le PoC exposé par FireEye, hors contexte, c’est FIN11, un autre levier d’extorsion, qui est utilisé pour parachever le dessein malveillant de Cl0p. Or, selon les observations à ce niveau, cet outil (qui intervient dans des campagnes de phishing depuis Août 2020) semble être laissé de côté par les cyber-attaquants ce qui permettrait de confirmer une nouvelle variante au ransomware Cl0p, via le modus operandi exploitant le Web-Shell, au préalable. Bien évidemment, cela n’exclut pas pour autant un abandon total de l’outil originel qui continuera à être analysé d’ici les prochains mois par les chercheurs… A veiller !

 

 

 

Source : Blog FireEye – 22 Février 2021 – Accellion : les fichiers FTAs compromis (ex-filtration de données + ransomware Cl0p)




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.10.0