Dieser Bericht bietet einen umfassenden Überblick über die Kompromittierung der Accellion File Transfer Appliance sowie eine Analyse der DEWMODE-Webshell, die bei den daraus resultierenden Sicherheitsverletzungen verwendet wurde. Zur Durchführung dieser Untersuchung nutzte die Insikt Group Open-Source-Forschung (OSINT), PolySwarm, Malware-Analyse und die Recorded Future ® Plattform. Zur Zielgruppe dieser Untersuchung gehören Sicherheitsfachleute, die täglich mit der Sicherheit arbeiten, sowie Entscheidungsträger auf Führungsebene, die sich über Angriffe auf Systeme und Software Dritter Sorgen machen.

Executive Summary

Der Angriff auf den File-Sharing-Dienst Accellion File Transfer Appliance (FTA), der sich auf fast 100 Kunden des Unternehmens auswirkte, wurde hauptsächlich durch vier Zero-Day-Schwachstellen im Tool ermöglicht, die es Bedrohungsakteuren erlaubten, die DEWMODE-Web-Shell auf den Servern der Opfer zu platzieren und Dateien von diesen Servern zu exfiltrieren. Bis zum 25. Februar 2021 waren 13 Organisationen in verschiedenen Sektoren (Finanzen, Regierung, Recht, Bildung, Telekommunikation, Gesundheitswesen, Einzelhandel und Fertigung) und mehreren Ländern (Australien, Neuseeland, Singapur, Großbritannien und die USA) infolge der Accellion-FTA-Kompromittierung von Datenschutzverletzungen betroffen. Auf der Website CL0P LEAKS sind Daten der Opfer aufgetaucht, die eine Verbindung zwischen den Betreibern dieser Website und den Angreifern hinter der Clop-Ransomware herstellen. In naher Zukunft werden voraussichtlich noch weitere Opfer gemeldet und wir vermuten, dass diese Opfer nicht nur in den Branchen und Ländern, sondern auch in anderen Ländern vorkommen werden. Kunden, die Accellion FTA in ihrer Umgebung verwenden, wird empfohlen, die Software auf Version FTA_9_12_416 oder höher zu aktualisieren und die empfohlenen Abwehrmaßnahmen der Insikt Group zu nutzen, um nach entsprechendem bösartigem Verhalten auf diesen Servern zu suchen.

Hintergrund

Am 10. Januar 2021 meldete die Reserve Bank of New Zealand einen Datenverstoß aufgrund der Kompromittierung eines Filesharing-Dienstes eines Drittanbieters, der kurz darauf als Accellion identifiziert wurde. Einen Tag später veröffentlichte die Bank eine Erklärung zu dem Datenleck, in der sie erklärte, dass durch das Datenleck möglicherweise geschäftlich und persönlich sensible Informationen offengelegt worden seien. Der Gouverneur der Reserve Bank, Adrian Orr, sagte, Accellion habe ihm mitgeteilt, dass die Reserve Bank nicht speziell ins Visier genommen worden sei und dass auch andere Benutzer von Accellion FTA kompromittiert worden seien.

Kurz darauf, am 12. Januar, erklärte Accellion in einer Pressemitteilung , dass "weniger als 50 Kunden" von einer "P0-Schwachstelle" in seiner alten FTA-Software betroffen seien. Sie behaupteten weiter, dass sie Mitte Dezember 2020 erstmals von der Schwachstelle erfahren hätten und dass daraufhin ein Patch "innerhalb von 72 Stunden mit minimalen Auswirkungen" veröffentlicht worden sei.

Wichtige Urteile

• Der Accellion FTA-Datenverstoß wurde durch vier Zero-Day-Schwachstellen ermöglicht, wobei der erste Zugriff über eine SQL-Injection-Schwachstelle, CVE-2021-27101, erfolgte.
• Aufgrund der Änderungen in den Aussagen von Accellion im Laufe der Berichterstattung zu dieser Kampagne ist es möglich, dass sich das Unternehmen des Ausmaßes der Gefährdung durch diese Sicherheitslücken noch immer nicht völlig bewusst ist. Darüber hinaus gehen wir aufgrund der Anzahl der Branchen und Länder, zu denen Accellion-Kunden zählen, davon aus, dass künftige Berichte über die Nutzung von Accellion FTA mehr Unternehmen, Branchen und Länder offenlegen werden als bisher.

Bedrohungsanalyse

Innerhalb weniger Wochen nach der ersten Pressemitteilung von Accellion gaben mehrere andere Unternehmen Datenschutzverletzungen bekannt, die auf die Ausnutzung von Accellion FTA zurückzuführen waren. Darüber hinaus tauchten auf der Website CL0P LEAKS Daten von Opfern des Accellion FTA-Angriffs auf, was eine Verbindung zwischen den Betreibern dieser Website und den Angreifern hinter der Clop-Ransomware herstellte. Basierend auf einer aktualisierten Zahl potenzieller Opfer, die Accellion am 22. Februar bekannt gab, und einer bis zum Zeitpunkt der Abfassung dieses Artikels (12. März) wachsenden Opferliste, gehen wir davon aus, dass im Laufe des nächsten Monats weitere ähnliche Berichte erscheinen werden. Die folgende Zeitleiste verfolgt neue Offenlegungen von Opfern, Analysen von Sicherheitsforschern und Updates von Accellion selbst.

• 22. Januar — Die australische Anwaltskanzlei Allens meldet eine Datenschutzverletzung aufgrund einer Kompromittierung der Accellion FTA.
• 25. Januar — Die Australian Securities and Investment Commission gibt bekannt, dass sie am 15. Januar auf eine Datenschutzverletzung aufgrund einer Kompromittierung des Accellion FTA aufmerksam wurde.
• 2. Februar — Die US-Anwaltskanzlei Goodwin Procter, das erste Opfer außerhalb Australiens oder Neuseelands, gibt eine Datenschutzverletzung aufgrund einer Kompromittierung der Accellion FTA bekannt.
• 4. Februar — Das Office of the US Washington State Auditor gibt eine Datenschutzverletzung aufgrund einer Kompromittierung des Accellion FTA bekannt.
• 9. Februar — Offene Quellen berichten, dass die University of Colorado aufgrund einer Kompromittierung des Accellion FTA eine Datenpanne erlitten hat.
• 11. Februar — Das singapurische Telekommunikationsunternehmen Singtel und das australische medizinische Forschungsinstitut QIMR Berghofer geben Datenschutzverletzungen aufgrund der Kompromittierung des Accellion FTA bekannt. QIMR Berghofer behauptet, es sei von Accellion gebeten worden, am 4. Januar einen Notfall-Patch zu implementieren; Am 2. Februar warnte Accellion das Institut, dass sie möglicherweise kompromittiert worden sein könnten.
• 16. Februar — Die US-Anwaltskanzlei Jones Day bestätigt eine Datenschutzverletzung aufgrund einer Kompromittierung der Accellion FTA. Auf seiner GitHub-Seite veröffentlicht Accellion Beschreibungen von 4 Schwachstellen in seiner FTA-Software: CVE-2021-27101, CVE-2021-27102, CVE-2021-27103 und CVE-2021-27104.
• 17. Februar — Offene Quellen berichten , dass Jones-Day-Daten auf der Erpressungswebsite CL0P LEAKS aufgetaucht sind, was die Möglichkeit eröffnet, dass andere Organisationen, die über Accellion FTA kompromittiert wurden, mit ähnlichen Datenlecks durch diese Kriminellen konfrontiert werden.
• 19. Februar — Die US-Lebensmittelkette Kroger gibt eine Datenschutzverletzung aufgrund der Kompromittierung des Accellion FTA bekannt.
• 21. Februar – Recorded Future-Daten bestätigen das Erscheinen von Jones Day-Daten auf der CL0P LEAKS-Website.
• 22. Februar — FireEye veröffentlicht einen Blog , in dem die Verbindungen zwischen den Verstößen gegen das Accellion FTA und einer Gruppe namens UNC2546, der Cybercrime-Gruppe FIN11, den Betreibern der Erpressungsseite für Daten, die durch Clop-Ransomware-Angriffe gestohlen wurden, und einer Web-Shell namens DEWMODE beschrieben werden. Am selben Tag veröffentlicht Accellion eine Erklärung , dass "von insgesamt etwa 300 FTA-Kunden weniger als 100 Opfer des Angriffs wurden".
• 23. Februar — Der kanadische Flugzeughersteller Bombardier und die australische Regierungsbehörde Transport for NSW geben Datenschutzverletzungen aufgrund der Kompromittierung des Accellion FTA bekannt.
• 24. Februar — Recorded Future protokolliert Datenoffenlegungen für Singtel und Bombardier auf der CL0P Leaks-Website. Die Mitglieder von Five Eyes geben eine gemeinsame Empfehlung zu laufenden Angriffen heraus, bei denen Accellion FTA-Schwachstellen ausgenutzt werden. In der Empfehlung heißt es, dass sich die betroffenen Organisationen in "Australien, Neuseeland, Singapur, dem Vereinigten Königreich [von wo noch keine Organisationen eine Datenschutzverletzung gemeldet haben] und den Vereinigten Staaten" befinden. Ein Open-Source-Bericht enthüllt, dass die US-Krankenversicherung Centene ein weiteres Opfer einer Datenschutzverletzung aufgrund einer Accellion FTA-Kompromittierung ist.
• 3. März — Die Sicherheitsfirma Qualys gab bekannt , dass sie eine Datenschutzverletzung durch anfällige Accellion FTA-Server erlitten hat. CL0P LEAKS veröffentlichte Screenshots von Dateien, die angeblich von Qualys gestohlen wurden und Daten wie Bestellungen, Rechnungen, Steuerdokumente und Scan-Berichte enthalten.
• 6. März — Die Flagstar Bank teilte ihren Kunden mit, dass sie von der Accellion FTA-Kompromittierung betroffen seien, die Flagstar ursprünglich am 22. Januar 2021 über ein Sicherheitsproblem informiert hatte. Flagstar hat die Anwendung von FTA nun dauerhaft eingestellt. Flagstar gibt an, dass dadurch Kundendaten betroffen waren, der Betrieb jedoch nicht. Die Daten von Flagstar wurden am 9. März auf CL0P LEAKS veröffentlicht .

Der Kommentar von Accellion zum Ausmaß der potenziellen Ausnutzung hat sich seit der ursprünglichen Veröffentlichung geändert. Am 12. Januar gab das Unternehmen an, dass weniger als 50 Kunden betroffen seien. Am 22. Februar korrigierte das Unternehmen diese Zahl auf weniger als 100 von insgesamt 300 FTA-Kunden.

Die folgende Grafik zeigt, dass der öffentliche Sektor am stärksten von der Ausnutzung der Accellion FTA-Sicherheitslücke betroffen war. Aufgrund der von Accellion veröffentlichten Verteilung der Kundenbranchen vermuten wir jedoch, dass die Sektoren Gesundheitswesen, Finanzen und Energie stärker betroffen sind als öffentlich berichtet.

Wir gehen davon aus, dass die Länder, die laut dem Five-Eyes-Bericht und unseren Untersuchungen Opfer des Accellion-FTA-Kompromisses sind (Australien, Kanada, Neuseeland, Singapur, Großbritannien und die USA), aufgrund der bisherigen Verteilung der Opfer am stärksten von dieser Angriffsserie betroffen sind und es auch bleiben werden. Wir glauben jedoch nicht, dass diese Angriffe gezielt auf diese Länder abzielen. Darüber hinaus gibt es, wie die Karte unten zeigt, mehrere andere Länder, in denen Accellion-Kunden (und damit potenzielle Opfer von Ausbeutung) ansässig sind, darunter Frankreich, Deutschland, Israel, Italien, Japan und die Niederlande.

Gegenmaßnahmen

Die beim Accellion-Hack und in Verbindung mit der DEWMODE-Web-Shell verwendeten TTPs sind mittlerweile weithin bekannt und Bedrohungsakteure können sie modifizieren, um einer Erkennung zu entgehen. Die Insikt Group empfiehlt jedoch die folgenden Gegenmaßnahmen:

• Überwachen Sie das durch diese Kampagne entstehende Drittrisiko für Ihr Unternehmen. Zu den potenziellen Überwachungsparametern können öffentlich gemeldete Cyberangriffe auf Unternehmen gehören, die Accellion FTA verwenden, neue Hinweise auf durchgesickerte Daten auf der CL0P LEAKS-Website sowie Bedrohungsgruppen oder Malware, die mit der Ransomware UNC2546, FIN11 oder Clop in Verbindung stehen.
• Accellion hat Patches für alle mit dieser Sicherheitsverletzung verbundenen Schwachstellen veröffentlicht und Organisationen, die Accellion FTA-Server verwenden, sollten auf Version FTA_9_12_416 aktualisieren.
• Wenn auf einem System Accellion FTA ausgeführt wird, sollten Sie das System vom Internet isolieren, bis Patches angewendet werden können.
• Wenn bösartiges Verhalten festgestellt wird, empfiehlt die CISA, das Verschlüsselungstoken "W1" und alle anderen Sicherheitstoken auf dem System zurückzusetzen.
• Das FTA-Produkt von Accellion erreicht am 30. April 2021 das Ende seiner Lebensdauer. Kunden, die das Produkt verwenden, sollten alternative Optionen für Filesharing-Plattformen in Betracht ziehen, auf die migriert werden kann, da das EOL für die FTA näher rückt.

Wenn in Ihrer Organisation eine anfällige Version von Accellion FTA verwendet wurde, sollte eine Vorfallsreaktionsuntersuchung durchgeführt werden, um festzustellen, ob ein Verstoß vorliegt. Mit den folgenden Methoden können Protokolldaten auf Hinweise auf eine Kompromittierung untersucht werden.

• Organisationen sollten auf Netzwerkanforderungen im Zusammenhang mit der DEWMODE-Web-Shell achten, darunter:
• GET-Anfragen an /about.html?dwn=[verschlüsselter Pfad]&fn=[verschlüsselter Dateiname]
• GET-Anfragen an /about.html?csrftoken=11454bd782bb41db213d415e10a0fb3c
• GET-Anfragen an /about.html?aid=1000
• Laut CISA kam es zu einem Vorfall, bei dem eine große Menge an Daten über Port 443 auf 194.88.104 exfiltriert wurde[.]24 und ein anderes, bei dem mehrere TCP-Sitzungen die IP-Adresse 45.135.229[.]179 hatten.
• Mit dem Verstoß waren die folgenden Dateisystem-Ereignisse verbunden:
• Erstellung von „about.html“ in /home/seos/courier oder /home/httpd/html
• Schreibt in die Datei /courier/oauth.api, wobei die enthaltenen Daten mit der Beschreibung der oben stehenden Eval-Shell übereinstimmen
• Zugriffe auf /courier/document_root.html oder /courier/sftp_account_edit.php
• Mehrere Änderungen an Protokollen im Apache-Protokollverzeichnis /var/opt/apache
• Während andere Forscher diese Bedrohungsaktivität mit unterschiedlichem Grad an Sicherheit mit den Bedrohungsakteuren hinter der Clop-Ransomware in Verbindung gebracht haben, verfügt die Insikt Group nicht über genügend Informationen, um dies zu bestätigen oder zu widerlegen.

Ausblick

Aufgrund der Änderungen in den Aussagen von Accellion im Laufe der Berichterstattung zu dieser Kampagne ist es möglich, dass sich das Unternehmen des Ausmaßes der Gefährdung durch diese Sicherheitslücken noch immer nicht völlig bewusst ist. Darüber hinaus gehen wir aufgrund der Anzahl der Branchen und Länder, zu denen Accellion-Kunden zählen, davon aus, dass künftige Berichte über die Nutzung von Accellion FTA mehr Unternehmen, Branchen und Länder offenlegen werden als bisher.

Wenn sich Produkte wie Accellion FTA dem Ende ihres Lebenszyklus nähern, ist es wahrscheinlich, dass sie künftig weniger Entwicklerunterstützung und weniger Update-Überwachung haben. Organisationen, deren Software- oder Hardware das Ende ihrer Lebensdauer erreicht hat oder sich diesem nähert, sollten diese Produkte weiterhin überwachen und Migrationsstrategien für diese Tools auf aktuellere, unterstützte Tools entwickeln.