.
Getty Images
Uma das maiores cadeias de hospitais nos Estados Unidos disse que os hackers obtiveram informações de saúde protegidas para 1 milhão de pacientes depois de explorar uma vulnerabilidade em um produto de software empresarial chamado GoAnywhere.
O Community Health Systems de Franklin, Tennessee, disse em um documento à Comissão de Valores Mobiliários na segunda-feira que o ataque teve como alvo o GoAnywhere MFT, um produto de transferência de arquivos gerenciado Fortra licenciado para grandes organizações. O documento disse que uma investigação em andamento revelou até agora que o hack provavelmente afetou 1 milhão de pessoas. Os dados comprometidos incluíam informações de saúde protegidas, conforme definido pela Lei de Portabilidade e Responsabilidade do Seguro de Saúde, bem como informações pessoais dos pacientes.
Duas semanas atrás, o jornalista Brian Krebs disse no Mastodon que a empresa de segurança cibernética Fortra emitiu um aviso privado aos clientes alertando que a empresa havia descoberto recentemente uma “exploração de injeção remota de código de dia zero” visando o GoAnywhere. Desde então, a vulnerabilidade ganhou a designação CVE-2023-0669. O Fortra corrigiu a vulnerabilidade em 7 de fevereiro com o lançamento do 7.1.2.
“O vetor de ataque dessa exploração requer acesso ao console administrativo do aplicativo, que na maioria dos casos é acessível apenas de dentro de uma rede privada da empresa, por meio de VPN ou por endereços IP permitidos (ao executar em ambientes de nuvem, como Azure ou AWS)”, disse o comunicado citado por Krebs. Ele continuou dizendo que hacks eram possíveis “se sua interface administrativa tivesse sido exposta publicamente e/ou controles de acesso apropriados não pudessem ser aplicados a esta interface”.
Apesar de a Fortra dizer que os ataques eram, na maioria dos casos, possíveis apenas na rede privada de um cliente, o arquivo do Community Health Systems disse que a Fortra era a entidade que “tinha sofrido um incidente de segurança” e soube da “violação da Fortra” diretamente da empresa.
“Como resultado da violação de segurança experimentada pelo Fortra, as Informações de Saúde Protegidas (“PHI”) (conforme definido pela Lei de Portabilidade e Responsabilidade de Seguro de Saúde (“HIPAA”)) e “Informações Pessoais” (“PI”) de certos pacientes das afiliadas da empresa foram expostas pelo invasor da Fortra”, afirmou o documento.
Em um e-mail buscando esclarecimentos sobre exatamente qual rede da empresa foi violada, os funcionários da Fortra escreveram: “Em 30 de janeiro de 2023, fomos informados de atividades suspeitas em certas instâncias de nossa solução GoAnywhere MFTaaS. Imediatamente tomamos várias medidas para resolver isso, incluindo a implementação de uma interrupção temporária deste serviço para evitar qualquer outra atividade não autorizada, notificando todos os clientes que possam ter sido afetados e compartilhando orientações de mitigação, que incluem instruções para nossos clientes locais sobre a aplicação de nosso patch desenvolvido recentemente.” A declaração não entrou em detalhes.
A Fortra se recusou a comentar além do que foi publicado no arquivamento da SEC na segunda-feira.
Na semana passada, a empresa de segurança Huntress informou que uma violação experimentada por um de seus clientes foi o resultado de uma exploração de uma vulnerabilidade GoAnywhere que provavelmente era CVE-2023-0669. A violação ocorreu em 2 de fevereiro, aproximadamente ao mesmo tempo em que Krebs postou o aviso privado ao Mastodon.
Huntress disse que o malware usado no ataque era uma versão atualizada de uma família conhecida como Truebot, usada por um grupo de ameaças conhecido como Silence. O Silence, por sua vez, tem vínculos com um grupo rastreado como TA505, e o TA505 tem vínculos com um grupo de ransomware, o Clop.
“Com base em ações observadas e relatórios anteriores, podemos concluir com confiança moderada que a atividade que a Huntress observou pretendia implantar ransomware, com exploração oportunista potencialmente adicional do GoAnywhere MFT ocorrendo para o mesmo propósito”, escreveu Joe Slowick, pesquisador da Huntress.
Mais evidências de que Clop é o responsável vieram do Bleeping Computer. Na semana passada, a publicação disse que os membros do Clop assumiram a responsabilidade pelo uso do CVE-2023-0669 para hackear 130 organizações, mas não forneceram evidências para apoiar a alegação.
Em uma análise, os pesquisadores da empresa de segurança Rapid7 descreveram a vulnerabilidade como um “problema de desserialização pré-autenticação” com classificações “muito altas” para exploração e valor do invasor. Para explorar a vulnerabilidade, os invasores precisam de acesso em nível de rede à porta de administração do GoAnywhere MFT (por padrão, porta 8000) ou a capacidade de direcionar o navegador de um usuário interno.
Dada a facilidade dos ataques e a liberação efetiva de código de prova de conceito que explora a vulnerabilidade crítica, as organizações que usam o GoAnywhere devem levar a ameaça a sério. A aplicação de patches é, obviamente, a forma mais eficaz de prevenir ataques. As medidas paliativas que os usuários do GoAnywhere podem tomar no caso de não conseguirem corrigir imediatamente são para garantir que o acesso em nível de rede à porta do administrador seja restrito ao menor número possível de usuários e para remover o acesso dos usuários do navegador ao endpoint vulnerável em seu arquivo web.xml.
.
