Accellions FTA Appliance Compromise, DEWMODE und seine Auswirkungen auf die Lieferkette verstehen
Anmerkung der Redaktion: The following post is an excerpt of a full report. To read the entire analysis, um den Bericht als PDF herunterzuladen.
Dieser Bericht bietet einen umfassenden Überblick über die Kompromittierung der Accellion File Transfer Appliance sowie eine Analyse der DEWMODE-Webshell, die bei den daraus resultierenden Sicherheitsverletzungen verwendet wurde. Zur Durchführung dieser Untersuchung nutzte die Insikt Group Open-Source-Forschung (OSINT), PolySwarm, Malware-Analyse und die Recorded Future ® Plattform. Zur Zielgruppe dieser Untersuchung gehören Sicherheitsfachleute, die täglich mit der Sicherheit arbeiten, sowie Entscheidungsträger auf Führungsebene, die sich über Angriffe auf Systeme und Software Dritter Sorgen machen.
Executive Summary
The compromise of the Accellion File Transfer Appliance (FTA) file sharing service impacting nearly 100 clients of the company was enabled primarily by 4 zero-day vulnerabilities in the tool that allowed threat actors to place the DEWMODE web shell on victim servers and exfiltrate files from those servers. As of February 25, 2021, 13 organizations in multiple sectors (finance, government, legal, education, telecommunications, healthcare, retail, and manufacturing) and multiple countries (Australia, New Zealand, Singapore, the UK, and the US) have suffered data breaches as a result of the Accellion FTA compromise. Victim data has appeared on the website CL0P LEAKS, establishing a link between the operators of this website and the attackers behind the Clop ransomware. There are likely to be reports of additional victims in the near future, and we suspect that these victims will be part of additional industries and countries beyond what have already been reported. Clients using Accellion FTA in their environment are advised to update the software to version FTA_9_12_416 or later and employ Insikt Group’s recommended mitigations to look for related malicious behavior on these servers.
Hintergrund
Am 10. Januar 2021 meldete die Reserve Bank of New Zealand einen Datenverstoß aufgrund der Kompromittierung eines Filesharing-Dienstes eines Drittanbieters, der kurz darauf als Accellion identifiziert wurde. Einen Tag später veröffentlichte die Bank eine Erklärung zu dem Datenleck, in der sie angab, dass durch das Datenleck möglicherweise geschäftlich und persönlich sensible Informationen offengelegt worden seien. Der Gouverneur der Reserve Bank, Adrian Orr, sagte, Accellion habe ihm mitgeteilt, dass die Reserve Bank nicht speziell ins Visier genommen worden sei und dass auch andere Benutzer von Accellion FTA betroffen seien.
Kurz darauf, am 12. Januar, gab Accellion in einer Pressemitteilung an, dass „weniger als 50 Kunden“ von einer „P0-Sicherheitslücke“ in seiner alten FTA-Software betroffen seien. Sie behaupteten weiter, dass sie erstmals Mitte Dezember 2020 von der Schwachstelle erfahren hätten und dass anschließend „innerhalb von 72 Stunden mit minimalen Auswirkungen“ ein Patch veröffentlicht worden sei.
Wichtige Urteile
- The Accellion FTA data breach was enabled by 4 zero-day vulnerabilities, with initial access gained through an SQL injection vulnerability, CVE-2021-27101.
- Aufgrund der Änderungen in den Aussagen von Accellion im Laufe der Berichterstattung zu dieser Kampagne ist es möglich, dass sich das Unternehmen des Ausmaßes der Gefährdung durch diese Sicherheitslücken noch immer nicht völlig bewusst ist. Darüber hinaus gehen wir aufgrund der Anzahl der Branchen und Länder, zu denen Accellion-Kunden zählen, davon aus, dass künftige Berichte über die Nutzung von Accellion FTA mehr Unternehmen, Branchen und Länder offenlegen werden als bisher.
Bedrohungsanalyse
Innerhalb weniger Wochen nach der ersten Pressemitteilung von Accellion gaben mehrere andere Unternehmen Datenschutzverletzungen bekannt, die auf die Ausnutzung von Accellion FTA zurückzuführen waren. Darüber hinaus tauchten auf der Website CL0P LEAKS Daten von Opfern des Accellion FTA-Angriffs auf, was eine Verbindung zwischen den Betreibern dieser Website und den Angreifern hinter der Clop-Ransomware herstellte. Basierend auf einer aktualisierten Zahl potenzieller Opfer, die Accellion am 22. Februar bekannt gab, und einer bis zum Zeitpunkt der Abfassung dieses Artikels (12. März) wachsenden Opferliste, gehen wir davon aus, dass im Laufe des nächsten Monats weitere ähnliche Berichte erscheinen werden. Die folgende Zeitleiste verfolgt neue Offenlegungen von Opfern, Analysen von Sicherheitsforschern und Updates von Accellion selbst.
- 22. Januar – Die australische Anwaltskanzlei Allens meldet einen Datenschutzverstoß aufgrund der Kompromittierung von Accellion FTA.
- 25. Januar – Die Australian Securities and Investment Commission gibt bekannt, dass sie am 15. Januar von einer Datenpanne aufgrund der Accellion FTA-Kompromittierung erfahren hat.
- 2. Februar – Die US-Anwaltskanzlei Goodwin Procter, das erste Opfer außerhalb Australiens oder Neuseelands, gibt einen Datenschutzverstoß aufgrund der Accellion-FTA-Kompromittierung bekannt.
- 4. Februar – Das Büro des US- Rechnungsprüfers des Staates Washington gibt einen Datenschutzverstoß aufgrund der Kompromittierung von Accellion FTA bekannt.
- 9. Februar – Offene Quellen berichten, dass es an der University of Colorado aufgrund der Accellion FTA-Kompromittierung zu einem Datenverstoß kam.
- 11. Februar – Das singapurische Telekommunikationsunternehmen Singtel und das australische medizinische Forschungsinstitut QIMR Berghofer geben Datenschutzverletzungen aufgrund des Accellion-FTA-Kompromisss bekannt. QIMR Berghofer behauptet, dass Accellion das Institut am 4. Januar gebeten habe, einen Notfall-Patch zu implementieren; am 2. Februar habe Accellion das Institut dann gewarnt, dass eine Kompromittierung möglich sei.
- February 16 — US law firm Jones Day confirms a data breach due to Accellion FTA compromise. On its GitHub page, Accellion publishes descriptions of 4 vulnerabilities in its FTA software: CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, and CVE-2021-27104.
- 17. Februar – Offene Quellen berichten , dass Daten von Jones Day auf der Erpressungswebsite CL0P LEAKS aufgetaucht sind. Dadurch besteht die Möglichkeit, dass auch andere über Accellion FTA kompromittierte Organisationen mit ähnlichen Datendiebstählen durch diese Kriminellen konfrontiert werden.
- 19. Februar – Die US-Lebensmittelkette Kroger gibt einen Datenverstoß aufgrund der Accellion FTA-Kompromittierung bekannt.
- 21. Februar – Recorded Future-Daten bestätigen das Erscheinen von Jones Day-Daten auf der CL0P LEAKS-Website.
- 22. Februar – FireEye veröffentlicht ein Blog , in dem Verbindungen zwischen den Accellion FTA-Verstößen und einer Gruppe namens UNC2546, der Cybercrime-Gruppe FIN11, den Betreibern der Erpressungsseite für über Clop-Ransomware-Angriffe gestohlene Daten und einer Web-Shell namens DEWMODE aufgeführt werden. Am selben Tag gibt Accellion eine Erklärung heraus, dass „von insgesamt etwa 300 FTA-Kunden weniger als 100 Opfer des Angriffs wurden“.
- 23. Februar – Der kanadische Flugzeughersteller Bombardier und die australische Regierungsbehörde Transport for NSW geben Datenschutzverletzungen aufgrund der Accellion FTA-Kompromittierung bekannt.
- 24. Februar – Recorded Future protokolliert Datenlecks für Singtel und Bombardier auf der CL0P Leaks-Website. Die Mitglieder der Five Eyes geben eine gemeinsame Warnung zu laufenden Angriffen heraus, die Schwachstellen von Accellion FTA ausnutzen. In der Warnung heißt es, dass sich die betroffenen Organisationen in „Australien, Neuseeland, Singapur, dem Vereinigten Königreich [aus dem bisher keine Organisation einen Datenverstoß gemeldet hat] und den Vereinigten Staaten“ befinden. Ein Open-Source-Bericht enthüllt, dass auch die US-Krankenversicherung Centene aufgrund der Accellion FTA-Kompromittierung Opfer eines Datendiebstahls geworden ist.
- 3. März – Das Sicherheitsunternehmen Qualys gab bekannt , dass es bei ihm zu einem Datenverstoß aufgrund anfälliger Accellion FTA-Server gekommen sei. CL0P LEAKS hat Screenshots von mutmaßlich von Qualys gestohlenen Dateien veröffentlicht , die Daten wie Bestellungen, Rechnungen, Steuerdokumente und Scanberichte enthalten.
- 6. März – Die Flagstar Bank benachrichtigte ihre Kunden darüber, dass sie vom Accellion FTA-Angriff betroffen waren. Diese hatten Flagstar bereits am 22. Januar 2021 über das Sicherheitsproblem informiert. Flagstar hat die Nutzung von FTA nun dauerhaft eingestellt. Flagstar gibt an, dass dadurch zwar Kundendaten beeinträchtigt wurden, der Betrieb jedoch nicht. Flagstar-Daten wurden am 9. März auf CL0P LEAKS veröffentlicht .
Der Kommentar von Accellion zum Ausmaß der potenziellen Ausnutzung hat sich seit der ursprünglichen Veröffentlichung geändert. Am 12. Januar gab das Unternehmen an, dass weniger als 50 Kunden betroffen seien. Am 22. Februar korrigierte das Unternehmen diese Zahl auf weniger als 100 von insgesamt 300 FTA-Kunden.
Die folgende Grafik zeigt, dass der öffentliche Sektor am stärksten von der Ausnutzung der Accellion FTA-Sicherheitslücke betroffen war. Allerdings vermuten wir aufgrund der von Accellion veröffentlichten Verteilung der Kundenbranchen, dass die Sektoren Gesundheitswesen, Finanzen und Energie stärker betroffen sind als öffentlich berichtet.
Figure 1: Distribution of industries for publicly disclosed victims of Accellion FTA vulnerability exploitation (light blue) versus distribution of industries for high-profile customers as listed on Accellion’s website (dark blue) (Source: Recorded Future)
Wir gehen davon aus, dass die Länder, die laut dem Five-Eyes-Bericht und unseren Untersuchungen Opfer des Accellion-FTA-Kompromisses sind (Australien, Kanada, Neuseeland, Singapur, Großbritannien und die USA), aufgrund der bisherigen Verteilung der Opfer am stärksten von dieser Angriffsserie betroffen sind und es auch bleiben werden. Wir glauben jedoch nicht, dass diese Angriffe gezielt auf diese Länder abzielen. Darüber hinaus gibt es, wie die Karte unten zeigt, mehrere andere Länder, in denen Accellion-Kunden (und damit potenzielle Opfer von Ausbeutung) ansässig sind, darunter Frankreich, Deutschland, Israel, Italien, Japan und die Niederlande.
Figure 2: Countries impacted by exploitation of Accellion FTA. The countries in red (Australia, Canada, New Zealand, Singapore, the UK, and the US) are headquarters for confirmed victims of Accellion FTA exploitation. The countries in orange (France, Germany, Israel, Italy, Japan, and the Netherlands) are headquarters for other customers of Accellion as publicized on their website. (Source: Recorded Future)
Gegenmaßnahmen
Die beim Accellion-Hack und in Verbindung mit der DEWMODE-Web-Shell verwendeten TTPs sind mittlerweile weithin bekannt und Bedrohungsakteure können sie modifizieren, um einer Erkennung zu entgehen. Die Insikt Group empfiehlt jedoch die folgenden Gegenmaßnahmen:
Überwachen Sie das durch diese Kampagne entstehende Drittrisiko für Ihr Unternehmen. Zu den potenziellen Überwachungsparametern können öffentlich gemeldete Cyberangriffe auf Unternehmen gehören, die Accellion FTA verwenden, neue Hinweise auf durchgesickerte Daten auf der CL0P LEAKS-Website sowie Bedrohungsgruppen oder Malware, die mit der Ransomware UNC2546, FIN11 oder Clop in Verbindung stehen.
Accellion hat Patches für alle mit dieser Sicherheitsverletzung verbundenen Schwachstellen veröffentlicht und Organisationen, die Accellion FTA-Server verwenden, sollten auf Version FTA_9_12_416 aktualisieren.
Wenn auf einem System Accellion FTA ausgeführt wird, sollten Sie das System vom Internet isolieren, bis Patches angewendet werden können.
Wenn bösartiges Verhalten festgestellt wird, empfiehlt CISA, das Verschlüsselungstoken „W1“ und alle anderen Sicherheitstoken auf dem System zurückzusetzen.
Das FTA-Produkt von Accellion erreicht am 30. April 2021 das Ende seiner Lebensdauer. Kunden, die das Produkt verwenden, sollten alternative Optionen für File-Sharing-Plattformen in Betracht ziehen, auf die sie migrieren können, wenn das EOL für FTA näher rückt.
Wenn in Ihrer Organisation eine anfällige Version von Accellion FTA verwendet wurde, sollte eine Vorfallsreaktionsuntersuchung durchgeführt werden, um festzustellen, ob ein Verstoß vorliegt. Mit den folgenden Methoden können Protokolldaten auf Hinweise auf eine Kompromittierung untersucht werden.
Organisationen sollten auf Netzwerkanforderungen im Zusammenhang mit der DEWMODE-Web-Shell achten, darunter:
GET-Anfragen an /about.html?dwn=[verschlüsselter Pfad]&fn=[verschlüsselter Dateiname]
GET-Anfragen an /about.html?csrftoken=11454bd782bb41db213d415e10a0fb3c
GET-Anfragen an /about.html?aid=1000
According to CISA, there was an incident in which a large amount of data was exfiltrated on port 443 to 194.88.104[.]24 and another in which several TCP sessions had IP address 45.135.229[.]179.
Mit dem Verstoß waren die folgenden Dateisystem-Ereignisse verbunden:
Erstellung von „about.html“ in /home/seos/courier oder /home/httpd/html
Schreibt in die Datei /courier/oauth.api, wobei die enthaltenen Daten mit der Beschreibung der oben stehenden Eval-Shell übereinstimmen
Zugriffe auf /courier/document_root.html oder /courier/sftp_account_edit.php
Mehrere Änderungen an Protokollen im Apache-Protokollverzeichnis /var/opt/apache
Während andere Forscher diese Bedrohungsaktivität mit unterschiedlichem Grad an Sicherheit mit den Bedrohungsakteuren hinter der Clop-Ransomware in Verbindung gebracht haben, verfügt die Insikt Group nicht über genügend Informationen, um dies zu bestätigen oder zu widerlegen.
Ausblick
Aufgrund der Änderungen in den Aussagen von Accellion im Laufe der Berichterstattung zu dieser Kampagne ist es möglich, dass sich das Unternehmen des Ausmaßes der Gefährdung durch diese Sicherheitslücken noch immer nicht völlig bewusst ist. Darüber hinaus gehen wir aufgrund der Anzahl der Branchen und Länder, zu denen Accellion-Kunden zählen, davon aus, dass künftige Berichte über die Nutzung von Accellion FTA mehr Unternehmen, Branchen und Länder offenlegen werden als bisher.
Wenn sich Produkte wie Accellion FTA dem Ende ihres Lebenszyklus nähern, ist es wahrscheinlich, dass sie künftig weniger Entwicklerunterstützung und weniger Update-Überwachung haben. Organisationen, deren Software- oder Hardware das Ende ihrer Lebensdauer erreicht hat oder sich diesem nähert, sollten diese Produkte weiterhin überwachen und Migrationsstrategien für diese Tools auf aktuellere, unterstützte Tools entwickeln.
Anmerkung der Redaktion: This post was an excerpt of a full report. To read the entire analysis, um den Bericht als PDF herunterzuladen.
Verwandte Nachrichten & Forschung