Security Update

Mandiant Identifica Actor de Amenaza Criminal y Modo de Ataques

Accellion, Inc., proveedor del primer firewall de contenido empresarial de la industria, emitió hoy un comunicado respecto a los hallazgos preliminares de Mandiant en relación con los ciberataques previamente reportados al producto FTA heredado de Accellion.

Mandiant, una división de FireEye, Inc., ha identificado a UNC2546 como el hacker criminal detrás de los ciberataques y el robo de datos que involucran el producto File Transfer Appliance heredado de Accellion. Varios clientes de Accellion FTA que han sido atacados por UNC2546 han recibido correos electrónicos de extorsión amenazando con publicar datos robados en el sitio web .onion “CL0P^_- LEAKS”. Algunos de los datos de las víctimas publicados parecen haber sido robados utilizando el web shell DEWMODE. Mandiant está rastreando la actividad de extorsión subsiguiente bajo un grupo de amenazas separado, UNC2582.

Accellion recomienda encarecidamente que los clientes de FTA migren a kiteworks, la plataforma de firewall de contenido empresarial de Accellion. Estas explotaciones se aplican exclusivamente a los clientes de Accellion FTA: ni kiteworks ni la empresa Accellion fueron objeto de estos ataques. Kiteworks está construido sobre una base de código completamente diferente, utilizando una arquitectura de seguridad de última generación y un proceso de devops seguro y segregado. La plataforma kiteworks está autorizada por FedRAMP para CUI Moderado y demuestra cumplimiento con GDPR, HIPAA, NIST 800-171, FIPS, SOC2, ISO 27001 y otras regulaciones y estándares de privacidad de datos.

Accellion ha parcheado todas las vulnerabilidades conocidas de FTA explotadas por los actores de amenazas y ha añadido nuevas capacidades de monitoreo y alerta para señalar anomalías asociadas con estos vectores de ataque.

Accellion no accede a la información que sus clientes transmiten a través de FTA. Sin embargo, tras el ataque, Accellion ha trabajado a petición de muchos clientes para revisar sus registros de FTA y ayudar a entender si y en qué medida el cliente podría haber sido afectado. Como resultado, Accellion ha identificado dos grupos distintos de clientes de FTA afectados basados en la investigación forense inicial. De aproximadamente 300 clientes totales de FTA, menos de 100 fueron víctimas del ataque. Dentro de este grupo, menos de 25 parecen haber sufrido un robo de datos significativo.

Accellion continúa ofreciendo apoyo a todos los clientes de FTA afectados para minimizar el impacto del ataque.

Los siguientes CVE han sido reservados para rastrear las vulnerabilidades de FTA de Accellion recientemente parcheadas:

• CVE-2021-27101 – Inyección SQL a través de un encabezado Host manipulado
• CVE-2021-27102 – Ejecución de comandos del sistema operativo a través de una llamada a un servicio web local
• CVE-2021-27103 – SSRF a través de una solicitud POST manipulada
• CVE-2021-27104 – Ejecución de comandos del sistema operativo a través de una solicitud POST manipulada

Para leer los hallazgos preliminares de Mandiant sobre el ciberataque al producto FTA heredado de Accellion, por favor visita https://www.fireeye.com/blog/threat-research/2021/02/accellion-fta-exploited-for-data-theft-and-extortion.html. El informe completo de Mandiant estará disponible en las próximas semanas.

Para aprender más sobre cómo Accellion ayuda a las organizaciones a asegurar sus comunicaciones con terceros, por favor visita Enterprise Content Firewall.