WSFTP服务器漏洞引发勒索软件攻击警报
关键要点
Progress Software的未修补WSFTP服务器存在高级别漏洞,已被勒索软件攻击者锁定。尽管Progress Software上月已发布补丁,但仍有部分服务器未得到修复。该漏洞允许未经认证的攻击者在操作系统上远程执行命令。医疗和政府等行业由于其敏感信息和复杂的IT环境,成为主要受害目标。最近,安全团队收到警告,Progress Software未修补的WSFTP服务器存在一个最高级别的漏洞,已被针对勒索软件攻击者所利用。根据Sophos XOps发布的报告,尽管Progress Software上个月针对这一漏洞发布了修复程序,但并非所有服务器都已更新。
Sophos XOps的研究人员指出:“勒索软件攻击者并没有等待太久就开始利用最近报告的WSFTP服务器软件漏洞。”这些攻击者自称为Reichsadler网络犯罪组织,尝试使用在2022年9月被盗的LockBit 30构建器部署勒索软件,但未能成功。
WSFTP软件漏洞的消息在本月初被披露,SC Media报道称攻击者能够利用被跟踪的最大严重性漏洞CVE202340044来实现远程命令执行。另一个被追踪的严重漏洞CVE202342657允许在非授权文件夹路径之外进行文件操作。
Callie Guenther,Critical Start网络威胁研究高级经理,解释说WSFTP服务器的最近漏洞造成了严格的威胁环境,因为其允许未经认证的攻击者远程执行底层操作系统上的命令。Guenther表示,以Reichsadler网络犯罪组织为代表的威胁行为者正在积极尝试利用这一漏洞,并使用诸如GodPotato这样复杂的工具,这进一步突显了该漏洞的重要性。
Guenther表示:“即便构建器被盗,他们对LockBit 30的使用也反映了勒索软件生态系统的日益复杂化。相对较低的赎金金额显示,可能存在自动化攻击的潜在使用,这固有地放大了威胁,因为其可扩展性。自动化攻击可以针对大量易受攻击的服务器,从而提高攻击者成功的几率。”
医疗行业的漏洞使其成为威胁行动者的首要目标
Guenther指出,医疗机构通常拥有复杂且互联的IT环境,以及有时存在的遗留系统,使其难以迅速修补这些漏洞。他表示,患者数据的敏感性以及医疗操作的紧迫性使得这些机构成为有利可图且关键的目标。
“像政府这样的其他行业确实也面临风险,尤其是因为它们存储敏感信息,并且有时使用较旧的遗留IT基础设施。”Guenther补充道,“此外,政府服务的中断可能产生广泛影响,使其成为勒索软件组织施加压力或表达政治声明的理想目标。”
First Health Advisory的首席安全官Will Long指出,正如卫生与公共服务部网络安全协调中心的警报所提到的,Progress Software还开发并销售MOVEit文件传输软件,这也是另一个文件传输产品。
白鲸NPV加速器Long表示:“这些漏洞已被Clop勒索软件即服务组织广泛利用,医疗行业中有很多受害者。第三方风险管理在医疗行业是强制性能力,很多医疗组织在管理自身风险以外,还需管理合作伙伴的风险。一些供应商修补漏洞的速度较慢,或者可能缺乏相关的最佳实践,从而将您的组织置于风险之中。与文件传输服务器相关的一个简单最佳方法是尽量将这些服务器上的数据保持在几乎为零的水平,比如MOVEit应用服务器。”
