Een kritieke kwetsbaarheid in IBM Aspera Faspex wordt gebruikt voor aanvallen met een Linux-versie van de IceFire-ransomware, zo stelt securitybedrijf SentinelOne. Onlangs waarschuwde ook het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) voor actief misbruik van het beveiligingslek in IBM Aspera Faspex.

Aspera Faspex is een webapplicatie voor het uitwisselen van bestanden en draait op een Aspera-server. Op 26 januari kwam IBM met een beveiligingsupdate voor een kritieke kwetsbaarheid in Aspera Faspex, aangeduid als CVE-2022-47986. Door een speciaal geprepareerde API-call te versturen kan een aanvaller willekeurige code op het systeem uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

Op 13 februari meldde de Shadowserver Foundation, een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich met de bestrijding van botnets en cybercrime bezighoudt, dat aanvallers misbruik van de kwetsbaarheid maken. De eerste gedetecteerde aanvalspogingen bleken van 3 februari te dateren, een week na het uitkomen van de beveiligingsupdate. Eerder stelde beveiligingsonderzoeker Raphael Mendonca ook al het dat het lek wordt gebruikt voor ransomware-aanvallen op kwetsbare servers.

Volgens SentinelOne hebben de criminelen achter de IceFire-ransomware, die het eerst alleen op Windows hadden voorzien, het nu ook op Linux gemunt en gebruiken ze daarbij het Aspera Faspex-lek. Bij de waargenomen aanvallen werden CentOS-systemen gecompromitteerd die een kwetsbare versie van IBM Aspera Faspex draaiden. Vervolgens werden allerlei bestanden op het systeem versleuteld. De onderzoekers merken op dat de ransomware op Linux niet alle bestanden versleutelt. Bepaalde paden worden vermeden, zodat belangrijke onderdelen van het systeem operationeel blijven.