Accellions FTA Appliance Compromise, DEWMODE und seine Auswirkungen auf die Lieferkette verstehen
Anmerkung des Herausgebers: Der folgende Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, um den Bericht als PDF herunterzuladen.
Dieser Bericht bietet einen umfassenden Überblick über die Kompromittierung der Accellion File Transfer Appliance sowie eine Analyse der DEWMODE-Webshell, die bei den daraus resultierenden Sicherheitsverletzungen verwendet wurde. Zur Durchführung dieser Untersuchung nutzte die Insikt Group Open-Source-Forschung (OSINT), PolySwarm, Malware-Analyse und die Recorded Future ® Plattform. Zur Zielgruppe dieser Untersuchung gehören Sicherheitsfachleute, die täglich mit der Sicherheit arbeiten, sowie Entscheidungsträger auf Führungsebene, die sich über Angriffe auf Systeme und Software Dritter Sorgen machen.
Executive Summary
Der Angriff auf den File-Sharing-Dienst Accellion File Transfer Appliance (FTA), der sich auf fast 100 Kunden des Unternehmens auswirkte, wurde hauptsächlich durch vier Zero-Day-Schwachstellen im Tool ermöglicht, die es Bedrohungsakteuren erlaubten, die DEWMODE-Web-Shell auf den Servern der Opfer zu platzieren und Dateien von diesen Servern zu exfiltrieren. Bis zum 25. Februar 2021 waren 13 Organisationen in verschiedenen Sektoren (Finanzen, Regierung, Recht, Bildung, Telekommunikation, Gesundheitswesen, Einzelhandel und Fertigung) und mehreren Ländern (Australien, Neuseeland, Singapur, Großbritannien und die USA) infolge der Accellion-FTA-Kompromittierung von Datenschutzverletzungen betroffen. Auf der Website CL0P LEAKS sind Daten der Opfer aufgetaucht, die eine Verbindung zwischen den Betreibern dieser Website und den Angreifern hinter der Clop-Ransomware herstellen. In naher Zukunft werden voraussichtlich noch weitere Opfer gemeldet und wir vermuten, dass diese Opfer nicht nur in den Branchen und Ländern, sondern auch in anderen Ländern vorkommen werden. Kunden, die Accellion FTA in ihrer Umgebung verwenden, wird empfohlen, die Software auf Version FTA_9_12_416 oder höher zu aktualisieren und die empfohlenen Abwehrmaßnahmen der Insikt Group zu nutzen, um nach entsprechendem bösartigem Verhalten auf diesen Servern zu suchen.
Hintergrund
Am 10. Januar 2021 meldete die Reserve Bank of New Zealand einen Datenverstoß aufgrund der Kompromittierung eines Filesharing-Dienstes eines Drittanbieters, der kurz darauf als Accellion identifiziert wurde. Einen Tag später veröffentlichte die Bank eine Erklärung zu dem Datenleck, in der sie angab, dass durch das Datenleck möglicherweise geschäftlich und persönlich sensible Informationen offengelegt worden seien. Der Gouverneur der Reserve Bank, Adrian Orr, sagte, Accellion habe ihm mitgeteilt, dass die Reserve Bank nicht speziell ins Visier genommen worden sei und dass auch andere Benutzer von Accellion FTA betroffen seien.
Kurz darauf, am 12. Januar, gab Accellion in einer Pressemitteilung an, dass „weniger als 50 Kunden“ von einer „P0-Sicherheitslücke“ in seiner alten FTA-Software betroffen seien. Sie behaupteten weiter, dass sie erstmals Mitte Dezember 2020 von der Schwachstelle erfahren hätten und dass anschließend „innerhalb von 72 Stunden mit minimalen Auswirkungen“ ein Patch veröffentlicht worden sei.
Wichtige Urteile
- Der Accellion FTA-Datenverstoß wurde durch vier Zero-Day-Schwachstellen ermöglicht, wobei der erste Zugriff über eine SQL-Injection-Schwachstelle, CVE-2021-27101, erfolgte.
- Aufgrund der Änderungen in den Aussagen von Accellion im Laufe der Berichterstattung zu dieser Kampagne ist es möglich, dass sich das Unternehmen des Ausmaßes der Gefährdung durch diese Sicherheitslücken noch immer nicht völlig bewusst ist. Darüber hinaus gehen wir aufgrund der Anzahl der Branchen und Länder, zu denen Accellion-Kunden zählen, davon aus, dass künftige Berichte über die Nutzung von Accellion FTA mehr Unternehmen, Branchen und Länder offenlegen werden als bisher.
Bedrohungsanalyse
Innerhalb weniger Wochen nach der ersten Pressemitteilung von Accellion gaben mehrere andere Unternehmen Datenschutzverletzungen bekannt, die auf die Ausnutzung von Accellion FTA zurückzuführen waren. Darüber hinaus tauchten auf der Website CL0P LEAKS Daten von Opfern des Accellion FTA-Angriffs auf, was eine Verbindung zwischen den Betreibern dieser Website und den Angreifern hinter der Clop-Ransomware herstellte. Basierend auf einer aktualisierten Zahl potenzieller Opfer, die Accellion am 22. Februar bekannt gab, und einer bis zum Zeitpunkt der Abfassung dieses Artikels (12. März) wachsenden Opferliste, gehen wir davon aus, dass im Laufe des nächsten Monats weitere ähnliche Berichte erscheinen werden. Die folgende Zeitleiste verfolgt neue Offenlegungen von Opfern, Analysen von Sicherheitsforschern und Updates von Accellion selbst.
- 22. Januar – Die australische Anwaltskanzlei Allens meldet einen Datenschutzverstoß aufgrund der Kompromittierung von Accellion FTA.
- 25. Januar – Die Australian Securities and Investment Commission gibt bekannt, dass sie am 15. Januar von einer Datenpanne aufgrund der Accellion FTA-Kompromittierung erfahren hat.
- 2. Februar – Die US-Anwaltskanzlei Goodwin Procter, das erste Opfer außerhalb Australiens oder Neuseelands, gibt einen Datenschutzverstoß aufgrund der Accellion-FTA-Kompromittierung bekannt.
- 4. Februar – Das Büro des US- Rechnungsprüfers des Staates Washington gibt einen Datenschutzverstoß aufgrund der Kompromittierung von Accellion FTA bekannt.
- 9. Februar – Offene Quellen berichten, dass es an der University of Colorado aufgrund der Accellion FTA-Kompromittierung zu einem Datenverstoß kam.
- 11. Februar – Das singapurische Telekommunikationsunternehmen Singtel und das australische medizinische Forschungsinstitut QIMR Berghofer geben Datenschutzverletzungen aufgrund des Accellion-FTA-Kompromisss bekannt. QIMR Berghofer behauptet, dass Accellion das Institut am 4. Januar gebeten habe, einen Notfall-Patch zu implementieren; am 2. Februar habe Accellion das Institut dann gewarnt, dass eine Kompromittierung möglich sei.
- 16. Februar – Die US-Anwaltskanzlei Jones Day bestätigt einen Datenschutzverstoß aufgrund der Accellion FTA-Kompromittierung. Auf seiner GitHub-Seite veröffentlicht Accellion Beschreibungen von 4 Schwachstellen in seiner FTA-Software: CVE-2021-27101, CVE-2021-27102, CVE-2021-27103 und CVE-2021-27104.
- 17. Februar – Offene Quellen berichten , dass Daten von Jones Day auf der Erpressungswebsite CL0P LEAKS aufgetaucht sind. Dadurch besteht die Möglichkeit, dass auch andere über Accellion FTA kompromittierte Organisationen mit ähnlichen Datendiebstählen durch diese Kriminellen konfrontiert werden.
- 19. Februar – Die US-Lebensmittelkette Kroger gibt einen Datenverstoß aufgrund der Accellion FTA-Kompromittierung bekannt.
- 21. Februar – Recorded Future-Daten bestätigen das Erscheinen von Jones Day-Daten auf der CL0P LEAKS-Website.
- 22. Februar – FireEye veröffentlicht ein Blog , in dem Verbindungen zwischen den Accellion FTA-Verstößen und einer Gruppe namens UNC2546, der Cybercrime-Gruppe FIN11, den Betreibern der Erpressungsseite für über Clop-Ransomware-Angriffe gestohlene Daten und einer Web-Shell namens DEWMODE aufgeführt werden. Am selben Tag gibt Accellion eine Erklärung heraus, dass „von insgesamt etwa 300 FTA-Kunden weniger als 100 Opfer des Angriffs wurden“.
- 23. Februar – Der kanadische Flugzeughersteller Bombardier und die australische Regierungsbehörde Transport for NSW geben Datenschutzverletzungen aufgrund der Accellion FTA-Kompromittierung bekannt.
- 24. Februar – Recorded Future protokolliert Datenlecks für Singtel und Bombardier auf der CL0P Leaks-Website. Die Mitglieder der Five Eyes geben eine gemeinsame Warnung zu laufenden Angriffen heraus, die Schwachstellen von Accellion FTA ausnutzen. In der Warnung heißt es, dass sich die betroffenen Organisationen in „Australien, Neuseeland, Singapur, dem Vereinigten Königreich [aus dem bisher keine Organisation einen Datenverstoß gemeldet hat] und den Vereinigten Staaten“ befinden. Ein Open-Source-Bericht enthüllt, dass auch die US-Krankenversicherung Centene aufgrund der Accellion FTA-Kompromittierung Opfer eines Datendiebstahls geworden ist.
- 3. März – Das Sicherheitsunternehmen Qualys gab bekannt , dass es bei ihm zu einem Datenverstoß aufgrund anfälliger Accellion FTA-Server gekommen sei. CL0P LEAKS hat Screenshots von mutmaßlich von Qualys gestohlenen Dateien veröffentlicht , die Daten wie Bestellungen, Rechnungen, Steuerdokumente und Scanberichte enthalten.
- 6. März – Die Flagstar Bank benachrichtigte ihre Kunden darüber, dass sie vom Accellion FTA-Angriff betroffen waren. Diese hatten Flagstar bereits am 22. Januar 2021 über das Sicherheitsproblem informiert. Flagstar hat die Nutzung von FTA nun dauerhaft eingestellt. Flagstar gibt an, dass dadurch zwar Kundendaten beeinträchtigt wurden, der Betrieb jedoch nicht. Flagstar-Daten wurden am 9. März auf CL0P LEAKS veröffentlicht .
Der Kommentar von Accellion zum Ausmaß der potenziellen Ausnutzung hat sich seit der ursprünglichen Veröffentlichung geändert. Am 12. Januar gab das Unternehmen an, dass weniger als 50 Kunden betroffen seien. Am 22. Februar korrigierte das Unternehmen diese Zahl auf weniger als 100 von insgesamt 300 FTA-Kunden.
Die folgende Grafik zeigt, dass der öffentliche Sektor am stärksten von der Ausnutzung der Accellion FTA-Sicherheitslücke betroffen war. Allerdings vermuten wir aufgrund der von Accellion veröffentlichten Verteilung der Kundenbranchen, dass die Sektoren Gesundheitswesen, Finanzen und Energie stärker betroffen sind als öffentlich berichtet.
Abbildung 1: Branchenverteilung für öffentlich bekannte Opfer der Ausnutzung der Accellion FTA-Sicherheitslücke (hellblau) gegenüber Branchenverteilung für hochkarätige Kunden, wie auf der Accellion-Website aufgeführt (dunkelblau) (Quelle: Recorded Future)
Wir gehen davon aus, dass die Länder, die laut dem Five-Eyes-Bericht und unseren Untersuchungen Opfer des Accellion-FTA-Kompromisses sind (Australien, Kanada, Neuseeland, Singapur, Großbritannien und die USA), aufgrund der bisherigen Verteilung der Opfer am stärksten von dieser Angriffsserie betroffen sind und es auch bleiben werden. Wir glauben jedoch nicht, dass diese Angriffe gezielt auf diese Länder abzielen. Darüber hinaus gibt es, wie die Karte unten zeigt, mehrere andere Länder, in denen Accellion-Kunden (und damit potenzielle Opfer von Ausbeutung) ansässig sind, darunter Frankreich, Deutschland, Israel, Italien, Japan und die Niederlande.
Abbildung 2: Von der Nutzung des Accellion FTA betroffene Länder. Die rot markierten Länder (Australien, Kanada, Neuseeland, Singapur, Großbritannien und die USA) sind Hauptsitze bestätigter Opfer der Ausbeutung des Accellion-FTA. Die orangefarbenen Länder (Frankreich, Deutschland, Israel, Italien, Japan und die Niederlande) sind Hauptsitze anderer Kunden von Accellion, wie auf deren Website bekannt gegeben wird. (Quelle: Aufgezeichnete Zukunft)
Gegenmaßnahmen
Die beim Accellion-Hack und in Verbindung mit der DEWMODE-Web-Shell verwendeten TTPs sind mittlerweile weithin bekannt und Bedrohungsakteure können sie modifizieren, um einer Erkennung zu entgehen. Die Insikt Group empfiehlt jedoch die folgenden Gegenmaßnahmen:
Überwachen Sie das durch diese Kampagne entstehende Drittrisiko für Ihr Unternehmen. Zu den potenziellen Überwachungsparametern können öffentlich gemeldete Cyberangriffe auf Unternehmen gehören, die Accellion FTA verwenden, neue Hinweise auf durchgesickerte Daten auf der CL0P LEAKS-Website sowie Bedrohungsgruppen oder Malware, die mit der Ransomware UNC2546, FIN11 oder Clop in Verbindung stehen.
Accellion hat Patches für alle mit dieser Sicherheitsverletzung verbundenen Schwachstellen veröffentlicht und Organisationen, die Accellion FTA-Server verwenden, sollten auf Version FTA_9_12_416 aktualisieren.
Wenn auf einem System Accellion FTA ausgeführt wird, sollten Sie das System vom Internet isolieren, bis Patches angewendet werden können.
Wenn bösartiges Verhalten festgestellt wird, empfiehlt CISA, das Verschlüsselungstoken „W1“ und alle anderen Sicherheitstoken auf dem System zurückzusetzen.
Das FTA-Produkt von Accellion erreicht am 30. April 2021 das Ende seiner Lebensdauer. Kunden, die das Produkt verwenden, sollten alternative Optionen für File-Sharing-Plattformen in Betracht ziehen, auf die sie migrieren können, wenn das EOL für FTA näher rückt.
Wenn in Ihrer Organisation eine anfällige Version von Accellion FTA verwendet wurde, sollte eine Vorfallsreaktionsuntersuchung durchgeführt werden, um festzustellen, ob ein Verstoß vorliegt. Mit den folgenden Methoden können Protokolldaten auf Hinweise auf eine Kompromittierung untersucht werden.
Organisationen sollten auf Netzwerkanforderungen im Zusammenhang mit der DEWMODE-Web-Shell achten, darunter:
GET-Anfragen an /about.html?dwn=[verschlüsselter Pfad]&fn=[verschlüsselter Dateiname]
GET-Anfragen an /about.html?csrftoken=11454bd782bb41db213d415e10a0fb3c
GET-Anfragen an /about.html?aid=1000
Laut CISA kam es zu einem Vorfall, bei dem eine große Menge an Daten über Port 443 auf 194.88.104 exfiltriert wurde[.]24 und ein anderes, bei dem mehrere TCP-Sitzungen die IP-Adresse 45.135.229[.]179 hatten.
Mit dem Verstoß waren die folgenden Dateisystem-Ereignisse verbunden:
Erstellung von „about.html“ in /home/seos/courier oder /home/httpd/html
Schreibt in die Datei /courier/oauth.api, wobei die enthaltenen Daten mit der Beschreibung der oben stehenden Eval-Shell übereinstimmen
Zugriffe auf /courier/document_root.html oder /courier/sftp_account_edit.php
Mehrere Änderungen an Protokollen im Apache-Protokollverzeichnis /var/opt/apache
Während andere Forscher diese Bedrohungsaktivität mit unterschiedlichem Grad an Sicherheit mit den Bedrohungsakteuren hinter der Clop-Ransomware in Verbindung gebracht haben, verfügt die Insikt Group nicht über genügend Informationen, um dies zu bestätigen oder zu widerlegen.
Ausblick
Aufgrund der Änderungen in den Aussagen von Accellion im Laufe der Berichterstattung zu dieser Kampagne ist es möglich, dass sich das Unternehmen des Ausmaßes der Gefährdung durch diese Sicherheitslücken noch immer nicht völlig bewusst ist. Darüber hinaus gehen wir aufgrund der Anzahl der Branchen und Länder, zu denen Accellion-Kunden zählen, davon aus, dass künftige Berichte über die Nutzung von Accellion FTA mehr Unternehmen, Branchen und Länder offenlegen werden als bisher.
Wenn sich Produkte wie Accellion FTA dem Ende ihres Lebenszyklus nähern, ist es wahrscheinlich, dass sie künftig weniger Entwicklerunterstützung und weniger Update-Überwachung haben. Organisationen, deren Software- oder Hardware das Ende ihrer Lebensdauer erreicht hat oder sich diesem nähert, sollten diese Produkte weiterhin überwachen und Migrationsstrategien für diese Tools auf aktuellere, unterstützte Tools entwickeln.
Anmerkung des Herausgebers: Dieser Beitrag war ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, um den Bericht als PDF herunterzuladen.
Verwandt