imágenes falsas
Una de las cadenas de hospitales más grandes de los EE. UU. dijo que los piratas informáticos obtuvieron información de salud protegida de 1 millón de pacientes después de explotar una vulnerabilidad en un producto de software empresarial llamado GoAnywhere.
Community Health Systems de Franklin, Tennessee, dijo en un presentación con la Comisión de Bolsa y Valores el lunes que el ataque se dirigió a GoAnywhere MFT, un producto de transferencia de archivos administrado que Fortra otorga licencias a grandes organizaciones. La presentación dice que una investigación en curso ha revelado hasta ahora que el ataque probablemente afectó a 1 millón de personas. Los datos comprometidos incluían información de salud protegida según lo define la Ley de Portabilidad y Responsabilidad del Seguro Médico, así como la información personal de los pacientes.
Hace dos semanas, el periodista Brian Krebs dijo en mastodonte esa empresa de ciberseguridad Fortra había emitido un aviso privado a los clientes advirtiendo que la compañía se había enterado recientemente de un “exploit de inyección de código remoto de día cero” dirigido a GoAnywhere. Desde entonces, la vulnerabilidad ha ganado la designación CVE-2023-0669. Fortra parcheado la vulnerabilidad el 7 de febrero con el lanzamiento de 7.1.2.
“El vector de ataque de este exploit requiere acceso a la consola administrativa de la aplicación, a la que en la mayoría de los casos solo se puede acceder desde la red de una empresa privada, a través de VPN o mediante direcciones IP incluidas en la lista de permitidos (cuando se ejecuta en entornos de nube, como Azure o AWS)”, decía el aviso citado por Krebs. Continuó diciendo que los hacks eran posibles “si su interfaz administrativa hubiera sido expuesta públicamente y/o los controles de acceso apropiados no se pudieran aplicar a esta interfaz”.
A pesar de que Fortra dijo que, en la mayoría de los casos, los ataques solo eran posibles en la red privada de un cliente, la presentación de Community Health Systems dijo que Fortra era la entidad que “había experimentado un incidente de seguridad” y se enteró de la “violación de Fortra” directamente de la empresa.
“Como resultado de la brecha de seguridad experimentada por Fortra, la información de salud protegida (“PHI”) (como se define en la Ley de Portabilidad y Responsabilidad del Seguro Médico (“HIPAA”)) y la “Información personal” (“PI”) de ciertos pacientes de los afiliados de la Compañía fueron expuestos por el atacante de Fortra”, indica el documento.
En un correo electrónico en busca de aclaraciones sobre la red de la empresa que fue violada, los funcionarios de Fortra escribieron: “El 30 de enero de 2023, nos enteramos de actividad sospechosa dentro de ciertas instancias de nuestra solución GoAnywhere MFTaaS. Inmediatamente tomamos varias medidas para abordar esto, incluida la implementación de una interrupción temporal de este servicio para evitar cualquier otra actividad no autorizada, notificando a todos los clientes que pueden haber sido afectados y compartiendo orientación de mitigación, que incluye instrucciones para nuestros clientes locales sobre cómo aplicar nuestro parche desarrollado recientemente.” La declaración no dio más detalles.
Fortra se negó a comentar más allá de lo que se publicó en la presentación de la SEC del lunes.
La semana pasada, la firma de seguridad Huntress reportado que una brecha experimentada por uno de sus clientes fue el resultado de la explotación de una vulnerabilidad de GoAnywhere que probablemente era CVE-2023-0669. La brecha ocurrió el 2 de febrero aproximadamente al mismo tiempo que Krebs había publicado el aviso privado a Mastodon.
Huntress dijo que el malware utilizado en el ataque era una versión actualizada de una familia conocida como Truebot, que es utilizada por un grupo de amenazas conocido como Silence. El silencio, a su vez, tiene lazos con un grupo rastreado como TA505, y TA505 tiene vínculos con un grupo de ransomware, Clop.
“Según las acciones observadas y los informes anteriores, podemos concluir con confianza moderada que la actividad que observó Huntress tenía la intención de implementar ransomware, con una explotación oportunista potencialmente adicional de GoAnywhere MFT con el mismo propósito”, dijo el investigador de Huntress. joe lento escribió.
Más pruebas de que Clop es el responsable vino de Computadora pitido. La semana pasada, la publicación dijo que los miembros de Clop asumieron la responsabilidad de usar CVE-2023-0669 para piratear 130 organizaciones, pero no proporcionaron evidencia para respaldar el reclamo.
en un análisis, los investigadores de la empresa de seguridad Rapid7 describieron la vulnerabilidad como un “problema de deserialización previa a la autenticación” con calificaciones “muy altas” para la explotabilidad y el valor del atacante. Para aprovechar la vulnerabilidad, los atacantes necesitan acceso a nivel de red al puerto de administración de GoAnywhere MFT (por defecto, puerto 8000) o la capacidad de atacar el navegador de un usuario interno.
Dada la facilidad de los ataques y la liberación efectiva de código de prueba de concepto que explota la vulnerabilidad crítica, las organizaciones que usan GoAnywhere deberían tomarse la amenaza en serio. La aplicación de parches es, por supuesto, la forma más efectiva de prevenir ataques. Las medidas provisionales que los usuarios de GoAnywhere pueden tomar en caso de que no puedan parchear de inmediato son garantizar que el acceso a nivel de red al puerto del administrador esté restringido a la menor cantidad de usuarios posible y eliminar el acceso de los usuarios del navegador al punto final vulnerable en su archivo web.xml.