Een actief misbruikt zerodaylek in Fortra GoAnywhere zorgt op dit moment voor een explosie aan datalekken. Tal van grote organisaties melden dat er gegevens bij hen zijn gestolen. Het gaat onder andere om Procter & Gamble, Hitachi Energy, Investissement Québec, Saks Fifth Avenue, Pluralsight, Rio Tinto, US Wellness, securitybedrijf Rubrik, de grote Amerikaanse zorgorganisatie Community Health Systems (CHS), gokbedrijf Crown Resorts, de Hatch Bank, het Britse Pension Protection Fund, de stad Toronto en zorgverlener Brightline. Deze laatste partij levert therapie aan kinderen en de vrees is dat de gevoelige data van tienduizenden kinderen is buitgemaakt.
De aanvallers achter deze aanvallen claimen dat ze bij meer dan honderddertig organisaties hebben toegeslagen. GoAnywhere is een door softwarebedrijf Fortra ontwikkelde oplossing voor het uitwisselen van bestanden. Via een kwetsbaarheid, aangeduid als CVE-2023-0669, is het mogelijk voor een ongeauthenticeerde aanvaller om willekeurige code op het systeem uit te voeren.
Voor het uitvoeren van de aanval moet een aanvaller wel eerst toegang tot de beheerdersconsole hebben. De console zou normaliter alleen toegankelijk vanaf het bedrijfsnetwerken, via een vpn of een select aantal ip-adressen moeten zijn. Onderzoekers ontdekten echter dat bij veel organisaties de console voor iedereen gewoon toegankelijk vanaf het internet is. Het beveiligingslek werd al voor dat Fortra een update uitbracht misbruikt.
TechCrunch meldt op basis van twee getroffen organisaties dat Fortra klanten vertelde dat hun gegevens niet door de aanvallers waren buitgemaakt. Pas nadat de aanvallers deze getroffen organisaties benaderden ontdekten die dat dit wel het geval was. De aanvallen zijn het werk van de criminelen achter de Clop-ransomware. Die hebben nog niet alle slachtoffers op hun eigen website vermeld. Het is dan ook de verwachting dat de komende dagen nog veel meer organisaties bekend zullen worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.