Киберразведка раскрыла реальные сроки эксплуатации уязвимости в Fortra GoAnywhere

Это открытие кардинально меняет представление о хронологии инцидента и требует пересмотра подходов к оценке рисков со стороны организаций, использующих уязвимое программное обеспечение. Ранее Fortra указывала, что уязвимость была обнаружена в ходе внутренней "проверки безопасности" 11 сентября, что могло создать ложное впечатление о своевременном выявлении проблемы самой компанией.

Анализ представленных доказательств показывает полное соответствие с stack traces (трассировками стека), опубликованными в рекомендациях Fortra. В частности, подтверждается факт эксплуатации уязвимости и создания бэкдор-аккаунта. Хотя полные данные не могут быть обнародованы, ключевые сигналы компрометации очевидны для специалистов.

Механизм атаки демонстрирует высокий уровень профессионализма злоумышленников. На первом этапе злоумышленники используют уязвимость предварительной аутентификации десериализации в GoAnywhere MFT для достижения удаленного выполнения кода (RCE). Получив контроль над системой, они создают привилегированную учетную запись администратора с именем admin-go, которая служит постоянным бэкдором для доступа.

Следующий этап атаки включает создание веб-пользователя через компрометированный аккаунт admin-go, что предоставляет злоумышленникам "легитимный" доступ к функционалу решения. Используя эти привилегии, злоумышленники загружают и выполняют множественные вторичные полезные нагрузки, расширяя свой контроль над инфраструктурой жертвы.

Особую озабоченность вызывает тот факт, что Fortra является подписантом инициативы Secure By Design, обязуясь обеспечивать прозрачность в отношении эксплуатации уязвимостей в реальных условиях. Расхождение между фактическими сроками эксплуатации и официальными заявлениями компании ставит под вопрос выполнение этих обязательств.

Обнародование ограниченных индикаторов компрометации (IOC) компанией Fortra после первоначального заявления свидетельствует о том, что организация была вынуждена скорректировать свою позицию под давлением новых доказательств. Это подчеркивает важность независимого мониторинга и проверки заявлений вендоров в инцидентах кибербезопасности.

Для организаций, использующих GoAnywhere MFT, текущая ситуация требует немедленных действий. Необходимо провести тщательный анализ логов на предмет признаков компрометации, обращая особое внимание на период с 10 сентября. Рекомендуется проверить наличие неавторизованных учетных записей, особенно с привилегиями администратора, и проанализировать активность, связанную с загрузкой и выполнением файлов.

Эксперты по безопасности настоятельно рекомендуют рассматривать любые системы GoAnywhere MFT, не обновленные до патченных версий, как потенциально скомпрометированные. Стандартные процедуры обновления могут быть недостаточными, учитывая восьмидневный разрыв между началом эксплуатации и публикацией исправлений.

Данный инцидент демонстрирует сохраняющиеся проблемы в координации раскрытия информации об уязвимостях и подчеркивает необходимость более строгих стандартов прозрачности со стороны вендоров программного обеспечения. Независимые исследователи продолжают играть ключевую роль в обеспечении подотчетности и защите интересов конечных пользователей.

По мере поступления новой информации ожидается дальнейшее уточнение деталей атаки и возможное появление дополнительных индикаторов компрометации. Организациям следует поддерживать повышенный уровень бдительности и быть готовыми к оперативному реагированию на новые угрозы, связанные с данной уязвимостью.

IPv4

• 155.2.190.197

SHA256

• 68c4abcb024c65388db584122eff409fb8459e0ca930c717f2217b90e6f2f5bc
• a72fa3b5bdd299579a03b94944e2b0b18f1bf564d4ff08a19305577a27575cc8

Local account

• admin-go