美国、英国、澳洲、新西兰与新加坡在2月24日共同发布了联合网络安全通报(Joint Cybersecurity Advisory),指出私有云解决方案供应商Accellion的被黑事件,已波及它们的政府机关与私人企业,造成组织的资料外泄,还有许多受害组织收到黑客的勒索信件,要求支付赎金否则就要公布受害者的机密信息。
黑客是在去年的12月中开采了Accellion文件传输设备(File Transfer Appliance,FTA)软件的零时差漏洞,Accellion在得知后于12月23日修补了该漏洞,然而,之后Accellion却发觉黑客还通过其它的4个FTA零时差漏洞,针对采用FTA的客户展开攻击,影响接近50家客户。
上述5个国家都是该攻击事件的受害者,境内受害的组织包括政府机构与私人企业,且涵盖了医疗、法律、电信、金融与能源等领域,有些受害者还收到勒索信,黑客威胁要公布自受害者系统中所盗走的机密信息,除非收到赎金。而协助Accellion进行调查的安全企业FireEye则指出,受到危害的还包括加拿大与荷兰境内的组织。
这4个安全漏洞分别是CVE-2021-27101、CVE-2021-27102、CVE-2021-27103与CVE-2021-27104,FireEye分析,其中的CVE-2021-27101属于SQL隐码(SQL injection)漏洞,允许未经授权远程用户执行命令,而黑客即利用该漏洞于受害系统上部署了名为Dewmode的Web Shell,以用来窃取资料。
FireEye说明,虽然勒索信件看似与Clop勒索软件集团有关,但受害者并未遭受勒索软件攻击,黑客的要胁完全出自于公布所盗走的资料。
该联合网络安全通报建议Accellion FTA用户应该暂时隔离该设备,评估系统上的恶意活动,以及更新至最新版本。由于Accellion FTA已是个20岁的产品,且产品的生命周期即将结束,使得Accellion强烈建议FTA用户改用其企业内容防火墙平台Kiteworks,强调Kiteworks与FTA采用了截然不同的程序代码库。