por Contenidos
imágenes falsas
Rubrik, la firma de seguridad de datos de Silicon Valley, dijo que sufrió una intrusión en la red que fue posible gracias a una vulnerabilidad de día cero en un producto que utilizó llamado GoAnywhere.
En un aviso publicado el martes, el CISO de Rubrik, Michael Mestrovich, dijo que una investigación sobre la violación encontró que los intrusos obtuvieron acceso principalmente a información de ventas interna, incluidos nombres de empresas e información de contacto, y una cantidad limitada de órdenes de compra de los distribuidores de Rubrik. La investigación, que contó con la ayuda de una empresa externa no identificada, concluyó que no hubo exposición de información confidencial, como números de seguro social, números de cuentas financieras o datos de tarjetas de pago.
de labios apretados
“Hemos detectado acceso no autorizado a una cantidad limitada de información en uno de nuestros entornos de prueba de TI que no son de producción debido a la vulnerabilidad de GoAnywhere”, escribió Mestrovich. “Es importante destacar que, según nuestra investigación en curso, realizada con la ayuda de expertos forenses externos, el acceso no autorizado NO incluyó ningún dato que protejamos en nombre de nuestros clientes a través de ningún producto de Rubrik”.
Mestrovich omitió detalles clave de la divulgación, específicamente cuándo ocurrió la violación y cuándo o si Rubrik parchó la vulnerabilidad. El 2 de febrero, la firma de seguridad cibernética Fortra alertó en privado a los clientes que había identificado vulnerabilidades de día cero de una vulnerabilidad en su MFT GoAnywhere, una aplicación de transferencia de archivos administrada de nivel empresarial. Fortra ha instado a los clientes a tomar medidas para mitigar la amenaza hasta que haya un parche disponible. El 6 de febrero, Fortra solucionó la vulnerabilidad, rastreada como CVE-2023-0669, con el lanzamiento de la versión 7.1.2.
Sin saber cuándo ocurrió la intrusión, es imposible determinar si la vulnerabilidad era de día cero en el momento en que se explotó contra Rubrik, o si la brecha fue el resultado de que Rubrik no instaló un parche disponible o de la adopción de otras medidas paliativas en de manera oportuna.
Los representantes de Rubrik no respondieron a un correo electrónico solicitando comentarios sobre el momento de la intrusión y si la empresa corrigió o mitigó la vulnerabilidad. Esta publicación se actualizará si esta información está disponible más adelante.
El CVE que sigue dando
CVE-2023-0669 ha demostrado ser un recurso valioso para los actores de amenazas. Dos semanas después de que Fortra revelara por primera vez la vulnerabilidad, una de las cadenas de hospitales más grandes de los EE. UU. dijo que los piratas informáticos la explotaron en una intrusión que les dio acceso a los piratas informáticos a un millón de información de salud protegida de los pacientes. Los datos comprometidos incluían información de salud protegida según lo define la Ley de Portabilidad y Responsabilidad de Seguros Médicos, así como información personal del paciente, dijo la cadena de hospitales Community Health Systems de Franklin, Tennessee.
Recientemente, Bleeping Computer informó que los pandilleros del ransomware Clop se atribuyeron el mérito de piratear 130 organizaciones al explotar la vulnerabilidad GoAnywhere. La investigación realizada por la firma de seguridad Huntress confirmó que el malware utilizado en las intrusiones que aprovechaban CVE-2023-0669 tenía vínculos indirectos con Clop.
El sitio web oscuro de Clop afirmó recientemente que el grupo de ransomware había pirateado Rubrik. Como evidencia, el actor de amenazas publicó nueve capturas de pantalla que parecían mostrar información de propiedad perteneciente a Rubrik. Las capturas de pantalla parecían confirmar la afirmación de Rubrik de que los datos obtenidos durante la intrusión se limitaban principalmente a información interna de ventas.
El sitio de Clop también afirmó que el grupo había pirateado Hatch Bank y proporcionó 10 capturas de pantalla que parecían confirmar el reclamo. Hatch Bank, un banco que brinda servicios a empresas de tecnología financiera, dijo a fines de febrero que había sufrido una violación que le dio acceso a los nombres y números de seguro social de alrededor de 140,000 clientes. Una carta enviada por Hatch Bank a algunos clientes identificó una vulnerabilidad de día cero en GoAnywhere como la causa.
Si no estaba claro antes, debería estarlo ahora: CVE-2023-0669 representa una seria amenaza. Cualquiera que use GoAnywhere debe tener como prioridad investigar su exposición a esta vulnerabilidad y responder en consecuencia.
