CSIRT Panamá Aviso 2021-feb-25 Explotación de servicio de transferencia de archivos Accellion
Gravedad: Alta
Fecha de publicación: febrero 25, 2021
Última revisión: febrero 25, 2021
https://us-cert.cisa.gov/sites/default/files/publications/Joint%20Cybersecurity%20Advisory%20AA21-055A_Exploitation_of_Accellion_FTA.pdf
Sistemas Afectados:
Accelion File Transfer Appliance
I. Descripción
A nivel mundial, los actores han explotado las vulnerabilidades para atacar múltiples organizaciones gubernamentales federales y estatales, locales, tribales y territoriales (SLTT), así como organizaciones de la industria privada,
incluidas las de los sectores médico, legal, de telecomunicaciones, financiero y energético. Según Accellion, esta actividad implica que los atacantes aprovechen cuatro vulnerabilidades para apuntar a los clientes de FTA.
En un incidente, un ataque a una organización SLTT potencialmente incluyó la violación de datos organizacionales confidenciales.
En algunos casos observados, el atacante ha extorsionado posteriormente a las organizaciones de las víctimas para evitar la divulgación pública de información extraída del dispositivo Accellion.
En el aviso de US-CERT se detallan los indicadores de compromiso (IOC) y mitigaciones recomendadas para esta actividad maliciosa. Para obtener una copia descargable de los IOC, consulte: AA21-055A.stix y MAR-10325064-1.v1.stix.
https://us-cert.cisa.gov/ncas/alerts/aa21-055a
II. Detalle
Accellion FTA es una aplicación de transferencia de archivos que se utiliza para compartir archivos. A mediados de diciembre de 2020, Accellion se dio cuenta de una vulnerabilidad de día cero en Accellion FTA y lanzó un parche el 23 de diciembre de 2020.
Desde entonces, Accellion ha identificado ciberactores que apuntan a los clientes de FTA aprovechando las siguientes vulnerabilidades adicionales.
CVE-2021-27101 – Inyección de lenguaje de consulta estructurado (SQL) a través de un encabezado HOST diseñado (afecta a FTA 9_12_370 y versiones anteriores)
CVE-2021-27102: ejecución de comandos del sistema operativo a través de una llamada de servicio web local (afecta a las versiones de FTA 9_12_411 y anteriores)
CVE-2021-27103 – Falsificación de solicitudes del lado del servidor a través de una solicitud POST diseñada (afecta a FTA 9_12_411 y anteriores)
CVE-2021-27104: ejecución de comandos del sistema operativo a través de una solicitud POST diseñada (afecta a FTA 9_12_370 y versiones anteriores)
III. Referencia a soluciones, herramientas e información
Las organizaciones con Accellion FTA deberían:
Aísle o bloquee temporalmente el acceso a Internet hacia y desde los sistemas que alojan el software.
Evalúe el sistema en busca de evidencia de actividad maliciosa, incluidos los IOC, y obtenga un snapshot o una imagen de disco forense del sistema para una investigación posterior.
Si se identifica actividad maliciosa, obtenga un snapshot o una imagen de disco forense del sistema para una investigación posterior, luego:
Considere realizar una auditoría de las cuentas de usuario de Accellion FTA en busca de cambios no autorizados y considere restablecer las contraseñas de usuario.
Restablezca todos los tokens de seguridad del sistema, incluido el token de cifrado “W1”, que puede haber sido expuesto mediante inyección SQL.
Actualice Accellion FTA a la versión FTA_9_12_432 o posterior.
Evalúe posibles soluciones para la migración a una plataforma de intercambio de archivos compatible después de completar las pruebas adecuadas.
IV. Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124