.
Getty Images
A Rubrik, empresa de segurança de dados do Vale do Silício, disse que experimentou uma invasão de rede possibilitada por uma vulnerabilidade de dia zero em um produto que ela usava chamado GoAnywhere.
Em um comunicado publicado na terça-feira, Rubrik CISO Michael Mestrovich disse que uma investigação sobre a violação descobriu que os invasores obtiveram acesso principalmente a informações de vendas internas, incluindo nomes de empresas e informações de contato, e um número limitado de pedidos de compra de distribuidores da Rubrik. A investigação, que foi auxiliada por uma empresa terceirizada não identificada, concluiu que não houve exposição de informações confidenciais, como números do Seguro Social, números de contas financeiras ou dados de cartão de pagamento.
de boca fechada
“Detectamos acesso não autorizado a uma quantidade limitada de informações em um de nossos ambientes de teste de TI que não são de produção como resultado da vulnerabilidade do GoAnywhere”, escreveu Mestrovich. “É importante ressaltar que, com base em nossa investigação atual, conduzida com a assistência de especialistas forenses terceirizados, o acesso não autorizado NÃO incluiu nenhum dado que protegemos em nome de nossos clientes por meio de quaisquer produtos da Rubrik.”
Mestrovich deixou detalhes importantes fora da divulgação, principalmente quando a violação aconteceu e quando ou se Rubrik corrigiu a vulnerabilidade. Em 2 de fevereiro, a empresa de segurança cibernética Fortra alertou em particular os clientes que havia identificado explorações de dia zero de uma vulnerabilidade em seu GoAnywhere MFT, um aplicativo gerenciado de transferência de arquivos de nível empresarial. A Fortra pediu aos clientes que tomassem medidas para mitigar a ameaça até que um patch fosse disponibilizado. Em 6 de fevereiro, o Fortra corrigiu a vulnerabilidade, rastreada como CVE-2023-0669, com o lançamento da versão 7.1.2
Sem saber quando a invasão ocorreu, é impossível determinar se a vulnerabilidade era de dia zero no momento em que foi explorada contra o Rubrik ou se a violação foi o resultado da falha do Rubrik em instalar um patch disponível ou tomar outras medidas de mitigação em um maneira oportuna.
Representantes da Rubrik não responderam a um e-mail solicitando comentários sobre o momento da invasão e quando ou se a empresa corrigiu ou mitigou a vulnerabilidade. Este post será atualizado se esta informação estiver disponível posteriormente.
O CVE que continua dando
O CVE-2023-0669 provou ser um recurso valioso para os agentes de ameaças. Duas semanas depois que o Fortra divulgou a vulnerabilidade pela primeira vez, uma das maiores cadeias de hospitais nos EUA disse que os hackers a exploraram em uma invasão que deu aos hackers acesso a informações de saúde protegidas para um milhão de pacientes. Os dados comprometidos incluíam informações de saúde protegidas, conforme definido pela Lei de Portabilidade e Responsabilidade do Seguro de Saúde, bem como informações pessoais dos pacientes, disse a rede de hospitais Community Health Systems de Franklin, Tennessee.
Recentemente, a Bleeping Computer informou que membros da gangue Clop ransomware levaram o crédito por hackear 130 organizações explorando a vulnerabilidade do GoAnywhere. A pesquisa da empresa de segurança Huntress confirmou que o malware usado em invasões explorando o CVE-2023-0669 tinha ligações indiretas com o Clop.
Recentemente, o site escuro do Clop alegou que o grupo de ransomware havia violado o Rubrik. Como prova, o agente da ameaça postou nove capturas de tela que pareciam mostrar informações proprietárias pertencentes a Rubrik. As capturas de tela pareciam confirmar a afirmação de Rubrik de que os dados obtidos na invasão eram limitados principalmente a informações de vendas internas.
O site Clop também afirmou que o grupo havia hackeado o Hatch Bank e forneceu 10 capturas de tela que pareciam confirmar a afirmação. Um banco que presta serviços para fintechs, o Hatch Bank disse no final de fevereiro que havia sofrido uma violação que deu acesso a nomes e números de CPF de cerca de 140.000 clientes. Uma carta enviada pelo Hatch Bank a alguns clientes identificou uma vulnerabilidade de dia zero no GoAnywhere como a causa.
Se não estava claro antes, deveria estar agora: CVE-2023-0669 representa uma grande ameaça. Qualquer pessoa que use o GoAnywhere deve priorizar a investigação de sua exposição a essa vulnerabilidade e responder de acordo.
.
