Aanvallers kregen geen toegang tot klantgegevens.
Deze week maakte gegevensbeveiligingsbedrijf Rubrik bekend dat het slachtoffer was geworden van de Fortra GoAnywhere zero-day kwetsbaarheid. Deze dreiging werd op donderdag 2 februari 2023 blootgelegd door beveiligingsverslaggever Brian Krebs, die op Mastodon een waarschuwing publiceerde over een actief uitgebuite zero-day kwetsbaarheid die van invloed is op on-premise instances van Fortra’s GoAnywhere MFT-oplossing voor managed file transfer. Fortra (voorheen HelpSystems) heeft blijkbaar op 1 februari een waarschuwing gepubliceerd, maar de waarschuwing was alleen beschikbaar voor klanten (waarvoor authenticatie vereist was) en er was geen openbaar toegankelijke waarschuwing.
NIST heeft het nummer CVE-2023-0669 aan deze kwetsbaarheid toegekend. Een patch (7.1.2) werd snel uitgegeven door Fortra op 7 februari. “Deze patch is gemaakt als gevolg van het probleem dat we bekend hebben gemaakt in de Security Advisories die vorige week zijn gepubliceerd met betrekking tot GoAnywhere MFTaaS”, aldus het bedrijf. “We adviseren alle GoAnywhere MFT-klanten dringend om deze patch toe te passen”.
De chief information security officer van Rubrik, Michael Mestrovich, publiceerde deze week een blogpost waarin hij beschreef hoe aanvallers toegang hadden gekregen tot de niet-productie IT-testomgevingen van het bedrijf als gevolg van het gebrek in Fortra’s GoAnywhere file-transfer software. Rubrik gebruikt GoAnywhere voor het delen van interne gegevens.
Geen toegang tot klantgegevens
Mestrovich was echter stellig dat er geen toegang was tot klantgegevens van Fortra. “We ontdekten ongeautoriseerde toegang tot een beperkte hoeveelheid informatie in een van onze niet-productie IT-testomgevingen als gevolg van de GoAnywhere-kwetsbaarheid”, gaf Mestrovich toe. “Belangrijk is dat op basis van ons huidige onderzoek, dat wordt uitgevoerd met de hulp van forensische experts van derden, de ongeautoriseerde toegang GEEN gegevens omvatte die wij namens onze klanten via producten van Rubrik beveiligen.”
Rubrik staat op lijst van ransomware-bendes
Rubrik-woordvoerder Najah Simmons gaf een verklaring aan TechCrunch waarin ze de bewering van Mestrovich bevestigde, maar “weigerde aanvullende vragen te beantwoorden, zoals of Rubrik een eis tot betaling heeft ontvangen of daarvan op de hoogte is gesteld”.
Ondanks de non-commentaar van Simmons meldt TechCrunch dat Clop, een aan Rusland gelinkte ransomware groep, GoAnywhere zero-day slachtoffers heeft afgeperst en beweert al betaling te hebben geëist van 130 organisaties.
Kort na de aankondiging van Rubrik verscheen er zelfs een vermelding van Rubrik op de dark web leak site van Clop. TechCrunch bevestigde dat “samples van gestolen gegevens gepubliceerd door Clop overeenkomen met Rubrik’s verklaring dat het vooral bedrijfsinformatie betrof”.
Lees ook: Rubrik groeit hard, ex-CEO van Palo Alto Networks stapt in bestuur
6 uur geleden
