Campagne GoAnywhere MFT de Cl0p : Fortra détaille la chronologie

Cl0p a fait un retour en fanfare début février, exploitant la vulnérabilité référencée CVE-2023-0669, pour attaquer plus de 130 organisations à travers le monde en une dizaine de jours. Le gang l’a assuré lui-même à nos confrères de Bleeping Computer.

Cette vulnérabilité critique affecte l’application de transfert de fichiers GoAnywhere MFT, via son interface d’administration. L’éditeur, Fortra, a commencé à en alerter ses clients le 1^er février. Notre confrère Brian Krebs a publié une copie de l’alerte le lendemain. Fin mars, Cl0p multiplié les revendications de victimes, dont Atos ou encore Rubrik.

Pour le nombre des victimes revendiquées, il existe un sous-domaine sur le nom de domaine goanywhere[.]cloud. Cela représentait plus du tiers des sous-domaines actifs début 2023 pour ce nom de domaine, selon les données de RiskIQ. Exemples : AvidXchange, Galderma, Hatchbank, Hitachi Energy, Homewoodhealth, Invest Quebec, ITX Companies, Medex, Onex, Rio Tinto, SAE, US Wellness, ou encore Tuebora. 

Fortra a finalisé ses investigations sur cette séquence douloureuse. Conduites avec la division 42 de Palo Alto Networks, elles font ressortir une exploitation de la vulnérabilité CVE-2023-0669 entre le 28 et le 31 janvier 2023, sur l’environnement GoAnywhere MFTaaS de Fortra. 

Selon l’éditeur, la vulnérabilité a notamment été exploitée pour « créer des comptes d’utilisateurs non autorisés dans certains environnements de clients MFTaaS. Pour un sous-ensemble de ces clients, la partie non autorisée a utilisé ces comptes d’utilisateurs pour télécharger des fichiers à partir de leurs environnements MFTaaS hébergés ».

Fortra indique avoir « donné la priorité à la communication avec chacun de ces clients pour partager autant d’informations pertinentes que possible pour leur instance spécifique de la plateforme GoAnywhere ».

Fin mars, nos confrères de TechCrunch donnaient toutefois à entendre un autre son de cloche. Ils expliquaient avoir reçu les témoignages de deux clients de Fortra ayant « appris que des données avaient été exfiltrées de leurs systèmes GoAnywhere après avoir reçu chacune une demande de rançon ». Avant cela, « les deux organisations avaient été précédemment informées par Fortra que leurs données n’avaient pas été affectées par l’attaque de ransomware ».

Mais ce n’est pas tout. Fortra indique avoir découvert, durant l’enquête, que le tiers « non autorisé avait utilisé CVE-2023-0669 pour installer jusqu’à deux outils supplémentaires – “Netcat” et “Errors.jsp” – dans certains environnements clients MFTaaS entre le 28 janvier 2023 et le 31 janvier 2023 ». Aucun de ces deux outils n’a toutefois été systématiquement installé dans chaque environnement.

La campagne menée par Cl0p semble avoir cependant démarré plus tôt : « la même CVE-2023-0669 a été utilisée contre un petit nombre d’implémentations sur site exécutant une configuration spécifique de la solution GoAnywhere MFT. Selon les rapports des clients, cette activité a repoussé la chronologie de l’activité non autorisée au 18 janvier ».