黑客自2020年底开始锁定Accellion文件传输解决方案File Transfer Appliance(FTA)下手,利用未知漏洞窃取企业与政府机关的资料。此起事故爆发之后,近3个月至少有超过10个机构证实,黑客攻击他们的Accellion FTA系统,而导致资料外泄。
针对本次事故,Accellion也在2月初委托FireEye旗下的威胁情报公司Mandiant进行调查,FireEye先是在2月22日披露攻击者的身份,并预告将于近日对于事故的进展,提出较完整的攻击事故调查报告。到了3月初,Accellion公布了Mandiant提供的调查结果,显示攻击者分别在2020年12月与2021年1月,使用了不同的漏洞,他们先在12月滥用了CVE-2021-27101、CVE-2021 -27104,到了1月则是使用CVE-2021-27102、CVE-2021-27103,来对于Accellion用户发动攻击。而Mandiant在介入调查后,又找到2个新的FTA漏洞CVE-2021-27730与CVE-2021-27731。
针对这起攻击事件,Accellion强调,黑客仅有滥用CVE-2021-27101、CVE-2021-27102、CVE-2021-27103、CVE-2021-27104等4个漏洞。这些漏洞与后来Mandiant找到的已知漏洞,他们也都修补完成,并经过Mandiant验证。再者,Accellion表示他们现行的解决方案Kiteworks Content Firewall,不受这次FTA的漏洞影响,该公司强调两者采用完全不同的程序代码基础,而且前者具较先进的安全架构。
而对于整起攻击事件的发生过程,Mandiant列出了详细的时间点。首先,该公司看到攻击行动最早约从2020年12月16日开始,Accellion在同日接获用户的通报后着手调查,发掘2个遭到滥用的FTA系统漏洞,它们是SQL注入漏洞CVE-2021 -27101,以及可被攻击者用来下达操作系统命令的CVE-2021-27104。这2个漏洞影响9.12.370版FTA,第3版CVSS风险等级都达到9.8分。Accellion于12月20日推出修补上述漏洞的9.12.380版,该公司随后又在23日发布9.12.411版,增加FTA侦测恶意行为的频率,从每日一次变更为每小时一次。
时隔一个月,Accellion再度于2021年1月22日收到多个用户的通知,得知新一波的攻击行动出现,而且滥用了不同的未知漏洞。该公司也于同一天,向企业与机构发出重大安全警示,呼吁要立即关闭FTA系统。经过3天调查,该公司找到2个被滥用的漏洞,分别是服务器请求伪造(SSRF)漏洞CVE-2021-27103,还有可被攻击者用来下达操作系统命令的CVE-2021-27102,它们的CVSS风险评分各是9.8分与7.8分。Accellion于1月25日推出9.12.416版修补这次找到的漏洞。
针对这2个月的攻击手法,Mandiant指出,黑客都是滥用名为Dewmode的网页壳层(Web Shell)来发动攻击,但不同的是,攻击者在1月的时候为了规避FTA的侦测机制,特别更换植入Dewmode的位置。而研究人员发现,1月的攻击行动疑似黑客已经活动了2天之后,才有受害的机构发现异状。
Mandiant认为,这2波攻击行动展现了黑客采用的手法相当复杂,很有可能借由逆向工程解析Accellion FTA系统,而极为了解这套软件内部的设计。研究人员指出,攻击者不只知道要如何规避FTA内置的异常侦测机制,还了解调用内部的API来解密文件名称的方法,以及熟悉该系统内部的数据库架构等,而能够串联漏洞来发动不需身份验证的RCE攻击。
经过本次事故,也促使Accellion对于FTA的维护规划做出重大决定──他们决定提前于2021年4月30日终止FTA的产品生命周期(EOL),并敦促所有FTA用户尽快改用Kiteworks Content Firewall。而这已经不是该公司首度对用户喊话,希望用户停止使用FTA──在Accellion针对这起事故的声明其中,已多次提及FTA是超过20年的老牌产品,且产品生命周期将至,并建议用户要转移到现行的Kiteworks Content Firewall。