Getty Images
Jedan od najvećih lanaca bolnica u SAD-u rekao je da su hakeri došli do zaštićenih zdravstvenih informacija za 1 milijuna pacijenata nakon iskorištavanja ranjivosti u poslovnom softverskom proizvodu pod nazivom GoAnywhere.
Community Health Systems iz Franklina, Tennessee, rekao je u a podnošenje s Komisijom za vrijednosne papire i burzu u ponedjeljak da je cilj napada bio GoAnywhere MFT, proizvod za upravljani prijenos datoteka koji Fortra licencira velikim organizacijama. U podnesku se navodi da je istraga koja je u tijeku do sada otkrila da je hakiranje vjerojatno utjecalo na milijun pojedinaca. Ugroženi podaci uključivali su zaštićene zdravstvene podatke kako je definirano Zakonom o prenosivosti i odgovornosti zdravstvenog osiguranja, kao i osobne podatke pacijenata.
Prije dva tjedna novinar Brian Krebs rekao je na Mastodonu ta tvrtka za kibernetičku sigurnost Fortra izdao je privatno savjetovanje za korisnike u kojem je upozorio da je tvrtka nedavno saznala za "iskorištavanje daljinskog ubacivanja koda nula dana" koje cilja GoAnywhere. Ranjivost je od tada dobila naziv
CVE-2023-0669. Fortra pokrpan ranjivost 7. veljače s izdanjem 7.1.2.“Vektor napada ovog iskorištavanja zahtijeva pristup administrativnoj konzoli aplikacije, kojoj je u većini slučajeva moguće pristupiti samo unutar privatnu mrežu tvrtke, putem VPN-a ili preko dopuštenih IP adresa (kada radi u okruženjima oblaka, kao što su Azure ili AWS)," savjet je citirao Krebs rekao je. Dalje se navodi da su hakiranja moguća "ako je vaše administrativno sučelje bilo javno izloženo i/ili se odgovarajuće kontrole pristupa ne mogu primijeniti na ovo sučelje."
Unatoč tome što je Fortra rekla da su napadi u većini slučajeva mogući samo na privatnoj mreži korisnika, Community Health Systems U podnošenju je navedeno da je Fortra entitet koji je "doživio sigurnosni incident" i saznao za "kršenje Fortre" izravno od društvo.
“Kao rezultat sigurnosne povrede koju je doživjela Fortra, zaštićene zdravstvene informacije (“PHI”) (kako je definirano Prenosivošću zdravstvenog osiguranja i Zakon o odgovornosti (“HIPAA”)) i “Osobni podaci” (“PI”) određenih pacijenata podružnica Društva otkriveni su od Fortrinog napadača,” podnošenje navedeno.
U e-poruci tražeći pojašnjenje o tome koja je mreža točno tvrtke probijena, službenici Fortre napisali su: "Dana 30. siječnja 2023. obaviješteni smo o sumnjivoj aktivnosti unutar određenih instanci našeg GoAnywhere MFTaaS-a riješenje. Odmah smo poduzeli više koraka kako bismo to riješili, uključujući provedbu privremenog prekida ove usluge kako bismo spriječili daljnje neovlaštene aktivnosti, obavještavajući sve korisnike koji moglo utjecati i dijeljenje smjernica za ublažavanje, koje uključuju upute za naše klijente na vlastitoj lokaciji o primjeni naše nedavno razvijene zakrpe.” Izjava nije razraditi.
Fortra je odbila komentirati osim onoga što je objavljeno u podnesku SEC-a u ponedjeljak.
Prošli tjedan, zaštitarska tvrtka Huntress prijavio da je proboj koji je doživio jedan od njegovih kupaca rezultat iskorištavanja ranjivosti GoAnywhere koja je najvjerojatnije bila CVE-2023-0669. Povreda se dogodila 2. veljače otprilike u isto vrijeme kada je Krebs objavio privatno savjetovanje Mastodonu.
Huntress je rekla da je zlonamjerni softver korišten u napadu ažurirana verzija obitelji poznate kao Truebot, koju koristi skupina prijetnji poznata kao Silence. Šutnja pak ima veze za skupina koja se prati kao TA505, a TA505 ima veze s grupom ransomwarea, Clop.
“Na temelju opaženih radnji i prethodnih izvješća, možemo zaključiti s umjerenom pouzdanošću da je aktivnost koju je Huntress primijetila imala za cilj implementirati ransomware, uz potencijalno dodatno oportunističko iskorištavanje GoAnywhere MFT-a u istu svrhu,” Huntress istraživač Joe Slowick napisao.
Još dokaza da je Clop odgovoran došao iz Blještavo računalo. Prošli tjedan, publikacija je rekla da su Clopovi članovi preuzeli odgovornost za korištenje CVE-2023-0669 za hakiranje 130 organizacija, ali nisu pružili dokaze koji bi poduprli tu tvrdnju.
U an analiza, istraživači iz sigurnosne tvrtke Rapid7 opisali su ranjivost kao "problem deserijalizacije prije autentifikacije" s "vrlo visokim" ocjenama za iskorištavanje i vrijednost za napadače. Kako bi iskoristili ranjivost, napadačima je potreban pristup na mrežnoj razini administrativnom priključku GoAnywhere MFT-a (prema zadanim postavkama, priključak 8000) ili mogućnost ciljanja internog korisničkog preglednika.
S obzirom na lakoću napada i učinkovito oslobađanje kod dokaza koncepta koji iskorištava kritičnu ranjivost, organizacije koje koriste GoAnywhere trebale bi ozbiljno shvatiti prijetnju. Krpanje je, naravno, najučinkovitiji način sprječavanja napada. Zaustavne mjere koje GoAnywhere korisnici mogu poduzeti u slučaju da ne mogu odmah zakrpati su da osiguraju pristup mrežnoj razini administratorski priključak ograničen je na najmanji mogući broj korisnika i za uklanjanje pristupa korisnika preglednika ranjivoj krajnjoj točki u njihovim web.xml datoteku.
