Sergey Nivens - stock.adobe.com

Vulnérabilité GoAnywhere : comment Cl0p a fait des ravages

Le groupe revendique une centaine de victimes grâce à l’exploitation d’une vulnérabilité critique du système d’échange de fichiers de Fortra. Plusieurs instances étaient particulièrement simples à découvrir.

[Mise à jour, le 21 mars 2023 @ 15h00] Dans un e-mail adressé à la rédaction, un porte-parole de Fortra indique que l’éditeur ne fera pas de commentaires concernant des clients précis. Il renvoie à une déclaration qui avait notamment été adressée à nos confrères d’Ars Technica, mi-février, dans laquelle Fortra expliquait : « le 30 janvier 2023, nous avons été informés d’une activité suspecte dans certaines instances de notre solution GoAnywhere MFTaaS. Nous avons immédiatement pris plusieurs mesures pour y remédier, y compris la mise en œuvre d’une interruption temporaire de ce service pour empêcher toute autre activité non autorisée ».

[Article original, le 17 mars 2023 @ 18h00] Le groupe Cl0p vient de revendiquer plus de 25 nouvelles victimes, en l’espace de moins de 24 heures, un record. Celles-ci sont vraisemblablement liées à la vaste campagne de cyberattaques lancée par le groupe début février, en exploitant la vulnérabilité référencée CVE-2023-0669.

Cette vulnérabilité critique affecte l’application de transfert de fichiers GoAnywhere MFT, via son interface d’administration. L’éditeur, Fortra, a commencé à en alerter ses clients le 1er février. Notre confrère Brian Krebs a publié une copie de l’alerte le lendemain. 

Moins d’une semaine après, Fortra diffusait une nouvelle version, corrigeant la vulnérabilité. Mais entre-temps, Cl0p avait commencé une vaste campagne d’exploitation de la vulnérabilité, laquelle aurait fait plus d’une centaine de victimes à travers le monde – dont l’éditeur Rubrik

Une part significative des victimes récemment revendiquées par Cl0p n’avait pas directement lié son instance GoAnywhere MFT à un nom de domaine lui appartenant en propre. Pour plus d’une dizaine de ces victimes, c’est un sous-domaine du nom de domaine goanywhere.cloud qui menait à l’instance GoAnywhere MFT : AvidXchange, Galderma, Hatchbank, Hitachi Energy, Homewoodhealth, Invest Quebec, ITX Companies, Medex, Onex, Rio Tinto, SAE, US Wellness, ou encore Tuebora. Selon les données de RiskIQ, la plupart de ces instances – hébergées chez AWS – exposaient le service de l’agent GoAnywhere, ainsi que son service FTPS, sur leurs ports par défaut.

Pour trois instances – AvidXchange, Galderma, et Homewoodhealth –, les données du moteur de recherche spécialisé Onyphe pour le service SSH font ressortir la version 7.0.3 de GoAnywhere au moment où Cl0p conduisait sa campagne de cyberattaques exploitant la vulnérabilité CVE-2023-0669. Dans le cas d’AvidXchange, c’était même encore cette version qui était rapportée par le service SSH ce jeudi 16 mars 2023. 

Cl0p vient de commencer à divulguer une partie des données volées chez Onex. Comme origine, il mentionne l’hôte appelé onex.goanywhere.cloud. 

À tout le moins, le nom de domaine goanywhere.cloud pourrait bien avoir facilité la découverte d’instances de GoAnywhere à Cl0p. Mais se pose la question de savoir qui est responsable de l’administration des instances accessibles via un sous-domaine de ce nom de domaine. Et cela d’autant plus que Fortra propose une offre « as-a-Service », depuis juin 2020. 

Le service de presse de Fortra n’a pas répondu à notre demande d’éclaircissements à l’heure où sont publiées ces lignes. Nous mettrons à jour cet article lorsque ses commentaires nous parviendront.

Pour approfondir sur Menaces, Ransomwares, DDoS