عصابة تبتز Qualys بعد اختراق ثغرة في Accellion
أصبحت شركة الأمن السحابي للمؤسسات Qualys أحدث ضحايا سلسلة الهجمات الإلكترونية، بعد أن تعرضت لاختراق أمني استهدف ثغرات يوم الصفر في خادم نقل الملفات Accellion FTA. وأسفر الهجوم عن تسريب مستندات أعمال حساسة، لتنضم الشركة إلى قائمة طويلة من الكيانات المتضررة من هذا الخلل الأمني الخطير
أصبحت شركة الأمن السحابي للمؤسسات Qualys أحدث ضحايا سلسلة الهجمات الإلكترونية، بعد أن تعرضت لاختراق أمني استهدف ثغرات يوم الصفر في خادم نقل الملفات Accellion FTA. وأسفر الهجوم عن تسريب مستندات أعمال حساسة، لتنضم الشركة إلى قائمة طويلة من الكيانات المتضررة من هذا الخلل الأمني الخطير
كدليل على الوصول إلى البيانات ، قامت المجريون الإلكترونيون وراء الاختراقات الأخيرة التي تستهدف خوادم FTA Accellion بتبادل لقطات من الملفات التي تنتمي إلى عملاء الشركة على موقع تسرب بيانات يمكن الوصول إليه للجمهور التي تديرها عصابة Clop Ransomware.
تأكيد الحادث ، مسؤول أمن المعلومات في Qualys بن كار قال مسبار مفصل “تم تحديد الوصول غير المصرح به إلى الملفات المستضافة على خادم FTA Accellion” الموجود في DMZ (ويعرف أيضًا باسم المنطقة المنزولة) البيئة التي يتم فصلها عن بقية الشبكة الداخلية.
وأضاف كار: “بناءً على هذا التحقيق ، أبلغنا على الفور العدد المحدود من العملاء المتأثرة بهذا الوصول غير المصرح به”. “أكد التحقيق أن الوصول غير المصرح به يقتصر على خادم FTA ولم يؤثر على أي خدمات مقدمة أو الوصول إلى بيانات العميل التي تستضيفها منصة Qualys Cloud.”
في الشهر الماضي ، كشف فريق Fireeye Mandiant Threat Intelligence عن تفاصيل عن أربع عيوب في يوم صفر في تطبيق اتفاقية التجارة الحرة التي تم استغلالها من قبل الجهات الفاعلة التهديدات لتثبيت سرقة بيانات واسعة النطاق وذات الابتزاز ، والتي تنطوي على نشر قذيفة ويب تسمى Dewmod موقع تسرب.
في حين تم تناول اثنين من العيوب (CVE-2011-27101 و CVE-2021-27104) من قبل Accelleion في 20 ديسمبر 2020 ، تم تحديد نقاط الضعف الأخرى (CVE-2021-27102 و CVE-2021-27103) في وقت سابق من هذا العام وثابتة في 25 يناير.
قالت شركة Qualys إنها تلقت “تنبيهًا للنزاهة” مما يشير إلى حدوث حل وسط محتمل في 24 ديسمبر ، بعد يومين من تطبيق الإصلاح الساخن الأولي في 22 ديسمبر. لم تقل الشركة ما إذا كانت تلقت رسائل الابتزاز في أعقاب الخرق ، لكنها قالت إن التحقيق في الحادث مستمر.
“كانت نقاط الضعف المستغلة ذات شدة حاسمة لأنها كانت خاضعة للاستغلال من خلال تنفيذ رمز عن بعد غير مصادفة” قال في تقييم أمني لبرنامج FTA المنشور في وقت سابق من هذا الأسبوع.
بالإضافة إلى ذلك ، كشف تحليل رمز المصدر من Mandiant عن عيوب أمان غير معروفة من قبل في برنامج FTA ، وكلاهما تم تصحيحهما في التصحيح (الإصدار 9.12.444) الذي تم إصداره في 1 مارس –
- CVE-2011-27730: ثغرة حقن الحجة (نقاط CVSS 6.6) يمكن الوصول إليها فقط للمستخدمين المصادقين مع امتيازات إدارية ، و
- CVE-2021-27731: عيب برمجة نصية مخزنة (نقاط CVSS 8.1) يمكن الوصول إليها فقط للمستخدمين المصادقين العاديين
تقوم الشركة التابعة المملوكة لـ FireEye بتتبع نشاط الاستغلال ومخطط الابتزاز المتابعة بموجب مجموعتين منفصلتين للتهديدات التي تسميها UNC2546 و UNC2582 ، على التوالي ، مع تحديد التداخل بين المجموعتين والهجمات السابقة التي تنفذها ممثل تهديد مالي يطلق عليه FIN11. ولكن لا يزال من غير الواضح ما هو الاتصال ، إن وجد ، قد يكون لدى المجموعتين مع مشغلي Clop Ransomware.
