GettyImages
قالت إحدى أكبر سلاسل المستشفيات في الولايات المتحدة إن المتسللين حصلوا على معلومات صحية محمية لمليون مريض بعد استغلال ثغرة أمنية في منتج برمجيات مؤسسي يسمى GoAnywhere.
قالت شركة Community Health Systems في مدينة فرانكلين بولاية تينيسي ، في بيان قدمته إلى لجنة الأوراق المالية والبورصات يوم الاثنين ، إن الهجوم استهدف GoAnywhere MFT ، وهو منتج مُدار لنقل الملفات مرخص للمنظمات الكبيرة. وجاء في الملف أن التحقيق الجاري حتى الآن كشف أن الاختراق قد أثر على مليون شخص. تضمنت البيانات المخترقة المعلومات الصحية المحمية على النحو المحدد في قانون التأمين الصحي لقابلية النقل والمساءلة ، بالإضافة إلى المعلومات الشخصية للمرضى.
قبل أسبوعين ، قال الصحفي بريان كريبس في برنامج ماستودون إن شركة الأمن السيبراني Fortra أصدرت نصيحة خاصة للعملاء تحذر من أن الشركة قد علمت مؤخرًا عن “استغلال حقنة عن بُعد في اليوم الصفري” يستهدف GoAnywhere. اكتسبت الثغرة الأمنية منذ ذلك الحين التعيين CVE-2023-0669. قامت Fortra بتصحيح الثغرة الأمنية في 7 فبراير بإصدار 7.1.2.
يتطلب متجه الهجوم لهذا الاستغلال الوصول إلى وحدة التحكم الإدارية للتطبيق ، والتي لا يمكن الوصول إليها في معظم الحالات إلا من داخل شبكة شركة خاصة ، أو عبر VPN ، أو عن طريق عناوين IP المدرجة المسموح بها (عند التشغيل في البيئات السحابية ، مثل Azure أو AWS). ومضى يقول إن الاختراقات كانت ممكنة “إذا تم الكشف عن واجهتك الإدارية علنًا و / أو لا يمكن تطبيق ضوابط الوصول المناسبة على هذه الواجهة.”
على الرغم من قول Fortra إن الهجمات كانت ، في معظم الحالات ، ممكنة فقط على شبكة العميل الخاصة ، إلا أن ملف Community Health Systems قال إن Fortra هي الكيان الذي “واجه حادثًا أمنيًا” وعلم “بخرق Fortra” مباشرة من الشركة.
“نتيجة لخرق الأمان الذي تعرضت له شركة Fortra ، فإن المعلومات الصحية المحمية (” PHI “) (على النحو المحدد في قانون التأمين الصحي لقابلية النقل والمساءلة (” HIPAA “)) و” المعلومات الشخصية “(” PI “) لبعض المرضى من الشركات التابعة للشركة تم الكشف عنها من قبل مهاجم Fortra “، جاء في الإيداع.
في رسالة بريد إلكتروني تطلب توضيحًا بشأن شبكة الشركة التي تم اختراقها على وجه التحديد ، كتب مسؤولو Fortra: “في 30 يناير 2023 ، تم إبلاغنا بنشاط مشبوه في حالات معينة من حل GoAnywhere MFTaaS. اتخذنا على الفور عدة خطوات لمعالجة هذا الأمر ، بما في ذلك تنفيذ الانقطاع المؤقت لهذه الخدمة لمنع أي نشاط آخر غير مصرح به ، وإخطار جميع العملاء الذين قد يكونون قد تأثروا ، ومشاركة إرشادات التخفيف ، والتي تتضمن تعليمات لعملائنا في مكان العمل حول تطبيقنا. تم تطويره مؤخرًا “. ولم يخض البيان في التفاصيل.
رفضت شركة Fortra التعليق بما يتجاوز ما تم نشره في ملف هيئة الأوراق المالية والبورصات يوم الاثنين.
في الأسبوع الماضي ، أفادت شركة الأمن Huntress أن الاختراق الذي تعرض له أحد عملائها كان نتيجة لاستغلال ثغرة GoAnywhere التي كانت على الأرجح CVE-2023-0669. حدث الخرق في 2 فبراير تقريبًا في نفس الوقت الذي نشر فيه كريبس الاستشارة الخاصة لماستودون.
قال Huntress إن البرامج الضارة المستخدمة في الهجوم كانت نسخة محدثة من عائلة تعرف باسم Truebot ، والتي تستخدمها مجموعة تهديد تعرف باسم Silence. الصمت ، بدوره ، له علاقات بمجموعة يتم تعقبها باسم TA505 ، ولدى TA505 علاقات بمجموعة برامج الفدية ، Clop.
كتب الباحث جو سلويك ، الباحث في Huntress ، “استنادًا إلى الإجراءات التي تمت ملاحظتها والتقارير السابقة ، يمكننا أن نستنتج بثقة معتدلة أن النشاط الذي لاحظه Huntress كان يهدف إلى نشر برامج الفدية ، مع الاستغلال الانتهازي المحتمل لـ GoAnywhere MFT للغرض نفسه”.
المزيد من الأدلة على أن Clop هو المسؤول جاء من Bleeping Computer. في الأسبوع الماضي ، قال المنشور إن أعضاء Clop تحملوا مسؤولية استخدام CVE-2023-0669 لاختراق 130 منظمة لكنهم لم يقدموا أي دليل يدعم هذا الادعاء.
في تحليل ، وصف الباحثون في شركة الأمان Rapid7 الثغرة الأمنية بأنها “مشكلة إلغاء تسلسل ما قبل المصادقة” مع تصنيفات “عالية جدًا” لقابلية الاستغلال وقيمة المهاجم. لاستغلال الثغرة الأمنية ، يحتاج المهاجمون إما إلى الوصول على مستوى الشبكة إلى منفذ إدارة GoAnywhere MFT (افتراضيًا ، المنفذ 8000) أو القدرة على استهداف متصفح المستخدم الداخلي.
نظرًا لسهولة الهجمات والإصدار الفعال لرمز إثبات المفهوم الذي يستغل الثغرة الأمنية الحرجة ، يجب على المؤسسات التي تستخدم GoAnywhere التعامل مع التهديد على محمل الجد. الترقيع هو بالطبع الطريقة الأكثر فعالية لمنع الهجمات. إجراءات Stop-gap التي يمكن لمستخدمي GoAnywhere اتخاذها في حالة عدم تمكنهم من التصحيح على الفور هي التأكد من أن الوصول على مستوى الشبكة إلى منفذ المسؤول يقتصر على أقل عدد ممكن من المستخدمين ولإزالة وصول متصفح المستخدمين الضعفاء إلى نقطة النهاية في الويب الخاصة بهم. xml.
