La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA), en conjunto con el Centro Australiano de Seguridad Cibernética (ACSC), Centro Nacional de Seguridad Cibernética de Nueva Zelanda (NZ NCSC), Agencia de Seguridad Cibernética de Singapur (CSA) y el Centro Nacional de Seguridad Cibernética del Reino Unido (UK NCSC), alertaron sobre actores maliciosos intentando explotar vulnerabilidades en el software Accellion File Transfer Appliance (FTA) en múltiples organizaciones a nivel mundial, tanto privadas como de gobierno.
En algunos casos el atacante al ingresar a los sistemas vulnerados extorsiona a la organización para no divulgar la información extraída de los sistemas comprometidos, este grupo de amenaza ha implementado el ransomware CLOP.
Accellion comunico el 12 de enero de 2021 sobre una vulnerabilidad de día cero en su software FTA y en menos de 72 horas está disponible el parche para la corrección, según lo informado en el comunicado desde entonces se han identificado actores maliciosos intentando explotar las siguientes vulnerabilidades:
- CVE-2021-27101: Inyección de lenguaje de consulta estructurado (SQL) a través de un encabezado HOST diseñado (afecta a FTA 9_12_370 y versiones anteriores).
- CVE-2021-27102: Ejecución de comandos del sistema operativo a través de una llamada de servicio web local (afecta a las versiones de FTA 9_12_411 y anteriores).
- CVE-2021-27102: Ejecución de comandos del sistema operativo a través de una llamada de servicio web local (afecta a las versiones de FTA 9_12_411 y anteriores).
- CVE-2021-27103: Falsificación de solicitudes del lado del servidor a través de una solicitud POST diseñada (afecta a FTA 9_12_411 y versiones anteriores).
- CVE-2021-27104: Ejecución de comandos del sistema operativo mediante una solicitud POST diseñada (afecta a FTA 9_12_370 y versiones anteriores).
Según los investigadores de la empresa de ciberseguridad FireEye el vector inicial tiene relación con una inyección de SQL donde se realizó la recuperación de una clave y es utilizada en una solicitud para el archivo “sftp_account.edit.php” e inmediatamente se ejecuta la utilidad incorporada en Accellion “admin.pl” lo que resulta en la escritura de una WEB Shell en el sistema. De este modo el atacante extrae una lista de archivos disponibles de una base de dato MYSQL y luego realiza una rutina de limpieza para no ser detectado.
La alerta enviada por las agencias de ciberseguridad entrega algunas recomendaciones:
- Aísle o bloquee temporalmente el acceso a Internet hacia y desde los sistemas que alojan el software.
- Evalúe el sistema en busca de evidencia de actividad maliciosa, incluidos los IOC, y obtenga una instantánea o una imagen de disco forense del sistema para una investigación posterior.
- Actualice Accellion FTA a la versión FTA_9_12_432 o posterior.
