وقع Qualys في خرق Accellion FTA

21

يؤكد مورد خدمات الأمن أن بعض بياناته قد سُرقت عبر ثغرات أمنية في منتج نقل الملفات من Accellion

نشرت: 4 آذار (مارس) 2021 12:11

اتسع نطاق خرق اتفاقية التجارة الحرة Accellion الآن ليشمل الأمان المستند إلى السحابة مورد الخدمات Qualys ، الذي نشر بعض بيانات عملائه إلى موقع تسريب ويب مظلم تديره عصابة Cl0p ransomware ، كما ذكرت أختنا العنوان LeMagIT 

.

.أكد Qualys CISO Ben Carr الحادث في مدونة إفصاح ، تقول إن الشركة استخدمت تقنية نقل الملفات القديمة في بيئة منفصلة لعمليات نقل الملفات المتعلقة بدعم العملاء ، ولم تكن مرتبطة في أي وقت ببيئة بيانات العملاء الخاصة بالإنتاج ، منصة Qualys Cloud Platform.

قال كار إن Qualys قد طبقت الإصلاح العاجل المقدم من Accellion لتأمين خادمها في 22 ديسمبر 2020 ، بعد يوم من إطلاقه ، واتخذ خطوات في ذلك الوقت لزيادة تعزيز أمنه ، بما في ذلك تطبيق تصحيحات إضافية وإنشاء تنبيهات جديدة.

عشية عيد الميلاد ، تلقى تنبيهًا بشأن السلامة ، وعند هذه النقطة عزل الخادم المتأثر تمامًا وقدم بدائل لنقل الملفات المتعلقة بالدعم.

“Qual أجرى كل من ys و Accellion تحقيقًا مفصلاً وحددوا الوصول غير المصرح به إلى الملفات المستضافة على خادم Accellion FTA “، قال كار. “بناءً على هذا التحقيق ، أبلغنا على الفور العدد المحدود من العملاء المتأثرين بهذا الوصول غير المصرح به.

“أكد التحقيق أن الوصول غير المصرح به كان مقصورًا على خادم FTA ولم يؤثر على أي خدمات مقدمة أو الوصول إلى بيانات العملاء التي تستضيفها Qualys Cloud Platform.”

وأضاف كار: “كما هو الحال مع أي حادث أمني ، فإن التحقيق مستمر. كشركة أمنية ، نواصل البحث عن طرق لتعزيز الأمن وتوفير أقوى حماية لعملائنا. لقد أشركنا FireEye Mandiant ، والتي عملت أيضًا مع Accellion في تحقيق أوسع.

“Qualys ملتزمة بشدة بأمن عملائها وبياناتهم ، وسنقوم بإخطارهم في حالة توفر المعلومات ذات الصلة.”

علق إليا كولوشينكو من شركة ImmuniWeb قائلاً: “استجابة Qualys للحادث هو مثال جدير بالثناء على التعامل الشفاف والمهني مع حادث أمني. في ظل سلامة الظروف التي تم الكشف عنها حاليًا ، لا أرى أي سبب على الإطلاق للذعر.

“تشير طبيعة الحادثة ذاتها إلى أن عدد العملاء المتأثرين والأطراف الثالثة الأخرى من المحتمل أن يكون محدودًا للغاية. علاوة على ذلك ، من شبه المؤكد أن البيانات الحساسة ، مثل تقارير الضعف أو كلمات مرور العملاء ، لن تتأثر.

“لذا ، سأمتنع بالتأكيد عن وصف الهجوم بأنه خرق ، بل إنه حادث أمني. من المحتمل أن يلقي تحقيق من طرف ثالث الضوء على الموقف ونأمل أن يجلب مزيدًا من التأكيد لعملاء Qualys. ”

تنضم Qualys إلى عدد متزايد من مستخدمي منتج Accellion’s FTA للعثور على البيانات المسروقة عبر أربع نقاط ضعف مختلفة – تم العثور على اثنتين في ديسمبر 2020 واثنتين في يناير 2021 – تم إصدارهما على موقع Cl0p للتشهير بالضحايا .

ولكن لا يوجد حتى الآن مؤشر واضح على الطبيعة الدقيقة لـ الرابط بين عصابة Cl0p ومن يقفون وراء هجمات Accellion ، بحسب مانديانت.

اعتبارًا من 1 مارس ، كان Mandiant قد أكمل تقييمه لهجمات Accellion – والذي يمكن تنزيله لقراءته بالكامل هنا.

قالت الشركة إن جميع نقاط الضعف المعروفة في اتفاقية التجارة الحرة قد تم إصلاحها الآن بعد اختبار الاختراق المكثف ومراجعة التعليمات البرمجية ، ولم تحدد أي ثغرات أمنية إضافية تم استغلالها من قبل الهجوم. rs – على الرغم من أنها عثرت على ثغرتين جديدتين (منذ تصحيحهما) لا يمكن الوصول إليها إلا من قبل المستخدمين المصادق عليهم ، لذلك لا يوجد دليل على أنه تم استغلالها.

“منذ أن أصبح فريقنا على علم بهذه الهجمات ، يعمل فريقنا على مدار الساعة لتطوير وإصدار تصحيحات لحل كل ثغرات أمنية تم تحديدها في اتفاقية التجارة الحرة ، ودعم عملائنا قال جوناثان يارون ، الرئيس التنفيذي لشركة Accellion ، متأثرًا بهذا الحادث.

” أود أن أشكر فريق Mandiant على تعاونهم الخبير في التحقيق في هذا الحادث ومراجعة برنامجنا للتأكد من أن جميع نقاط الضعف المعروفة في اتفاقية التجارة الحرة قد تم إغلاقها بالفعل. لضمان أمان العملاء بشكل أفضل في بيئة التهديدات الديناميكية الحالية ، قررنا تسريع نهاية حياة اتفاقية التجارة الحرة حتى 30 أبريل 2021 ومواصلة حث جميع عملاء اتفاقية التجارة الحرة الذين لم يفعلوا ذلك بالفعل على الترقية إلى منصة Kiteworks في أقرب وقت ممكن “. قال Kolochenko إنه من الصعب اكتشاف هجمات سلسلة التوريد ضد مستخدمي Accellion أو منعه ، ومن المرجح أن يستمر ظهور المزيد من الضحايا بمرور الوقت.

“مما لا شك فيه ، تم بالفعل اختراق المزيد من الضحايا بصمت وهم ببساطة غير مدركين للتطفل ،” قال. “الابتزاز والتهديدات العلنية هي الملاذ الأخير للمهاجمين الذين يفشلون في بيع المسروقات بسرعة مقابل سعر جيد على شبكة الإنترنت المظلمة وملاحقة الضحية للحصول على فدية. ومن المتوقع أن تزداد هجمات سلسلة التوريد المماثلة في عام 2021 “.

إلى جانب الانتقال بعيدًا عن Accellion FTA بمجرد أن يكون ذلك عمليًا ، يمكن للمستخدمين أيضًا اتخاذ خطوات لحماية أنفسهم عن طريق عزل أو حظر الوصول مؤقتًا إلى الأنظمة التي تستضيف البرنامج أو منعه ، وتقييم أنظمتهم بحثًا عن دليل على أي نشاط ضار يتضمن مؤشرات الاختراق التي تم الكشف عنها ، وتصوير نظام التحقيق.

إذا كان أي نشاط ضار هو وجدت ، يجب على المستخدمين النظر في تدقيق حسابات مستخدمي FTA للتغييرات غير المصرح بها وإعادة تعيين كلمات مرور المستخدم وأي رموز أمان على النظام ، وإذا لم يفعلوا ذلك ، فقم بتحديث FTA إلى الإصدار FTA_9_12_432 أو أحدث.

قال متحدث باسم المركز الوطني للأمن السيبراني: “إن NCSC ملتزم بحماية المملكة المتحدة من الهجمات الإلكترونية وبالعمل جنبًا إلى جنب مع حلفائنا ، سنواصل تعزيز دفاعاتنا لنجعلنا الأفضل أصعب هدف ممكن.

“نحن نشجع عملاء Accellion FTA في على المملكة المتحدة أن تتبع التخفيف الموصى به المبين في هذا التقرير الاستشاري وأن تبلغ عن أي نشاط مشبوه إلى NCSC. ”