Sårbarhet i Accellion File Transfer
En gruppering som amerikanska cybersäkerhetsföretaget Mandiant har namngett UNC2546 utnyttjar en eller flera nya zeroday-sårbarheter i Accellions produkt File Transfer Appliance (FTA). Denna sårbarhet har bl.a. använts för att exfiltrera information från företaget Qualys. Accellion släppte patchar för att åtgärda bristerna December 21, 2020 och Accellion meddelade att dessa brister upptäcktes eftersom de utnyttjas i en annan kunds miljö. Dock är denna produkt 20 år gammal och Accellion rekommenderar en migrering till Kiteworks som är en ombyggd produkt med ny kodbas.
Även värt att notera att FireEye har identifierat överlappningar mellan UNC2582, UNC2546 och FIN11 som är en välkänd gruppering som utför utpressningsattacker. Genom att utpressade organisationer betalar lösensummor så växer dessa kriminella organisationer större och har möjlighet att köpa in zero-days eller access till system.
Efter att sårbarheterna utnyttjas så laddas ett webbshell vid namn DEWMODE och om du vill hitta signaturer för detta shell så kolla här samt CISA:s alert.
Följande CVE:er har åtgärdats av Accellion:
- CVE-2021-27101 – SQL injection via a crafted Host header
- CVE-2021-27102 – OS command execution via a local web service call
- CVE-2021-27103 – SSRF via a crafted POST request
- CVE-2021-27104 – OS command execution via a crafted POST request
Skärmdump från “CL0P^_- LEAKS” .onion med några av organisationerna som drabbats: