勒索团伙利用Accellion漏洞攻击网络安全公司Qualys

企业云安全公司科力斯在其Accellion File Transfer Appliance（FTA）服务器上的零日漏洞被用来窃取敏感业务文档后，成为一长串遭受数据泄露的实体的最新受害者。

作为获取数据的证据，最近针对Accellion FTA服务器的黑客背后的网络犯罪分子在一个由CLOP勒索软件集团运营的可公开访问的数据泄露网站上分享了属于该公司客户的文件截图。

Qualys首席信息安全官本·卡尔（Ben Carr）证实了这起事件，他说，一项详细调查“发现了对Accellion FTA服务器上托管文件的未经授权访问”，该服务器位于与内部网络其他部分隔离的DMZ（也称为非军事区）环境中。

“根据这项调查，我们立即通知了受这种未经授权访问影响的有限数量的客户，”卡尔补充道。“调查证实，未经授权的访问仅限于FTA服务器，不影响Qualys云平台提供的任何服务或对客户数据的访问。”

上个月，FireEye的Mandiant威胁情报团队披露了FTA应用程序中四个零日漏洞的详细信息，这些漏洞被威胁参与者利用，发起了一场范围广泛的数据盗窃和勒索活动，其中包括在目标网络上部署一个名为DEWMODE的网络外壳，以过滤敏感数据，然后发送勒索电子邮件，威胁受害者支付比特币赎金，否则被盗数据会被发布在数据泄露网站上。

虽然Accellion于2020年12月20日解决了其中两个漏洞（CVE-2021-27101和CVE-2021-27104），但其他两个漏洞（CVE-2021-27102和CVE-2021-27103）已于今年早些时候确定，并于1月25日修复。

Qualys表示，在12月22日应用初始修补程序两天后，它在12月24日收到了一份“完整性警报”，建议可能的妥协。该公司没有透露在违规事件发生后是否收到勒索信息，但表示正在对该事件进行调查。

Mandiant在本周早些时候发布的FTA软件安全评估中说：“被利用的漏洞非常严重，因为它们可能会通过未经验证的远程代码执行被利用。”。

Additionally, Mandiant's source code analysis uncovered two more previously unknown security flaws in the FTA software, both of which have been rectified in a patch (version 9.12.444) released on March 1 —

• CVE-2021-27730：参数注入漏洞（CVSS评分6.6），仅可由具有管理权限的经过身份验证的用户访问，以及
• CVE-2021-27731：存储的跨站点脚本缺陷（CVSS分数8.1），只有经过身份验证的普通用户才能访问

FireEye旗下的子公司正在跟踪其分别称为UNC2546和UNC2582的两个独立威胁集群下的剥削活动和后续敲诈勒索计划，这两个群体与之前由一个名为FIN11的出于财务动机的威胁参与者实施的攻击之间存在重叠。但目前尚不清楚这两个集群可能与Clop勒索软件的运营商有什么联系（如果有的话）。