Af Eskil Sørensen, 30/03/23
Trusselaktører er begyndt at udnytte en kritisk sårbarhed i en IBM file-exchange applikation i angreb, der installerer ransomware på servere.
Det skriver Arstechnica på baggrund af en blogpost fra sikkerhedsfirmaet Rapid7. Heri fremgår det, at detaljer om sårbarheden og en proof-of-concept har været tilgængelig siden februar, og der har været rapporter om 'adskillige' udnyttelser.
Der er tale om en sårbarhed med id’et CVE-2022-47986 og en CVSS-score på 9,8. Sårbarheden gør det muligt for uautoriserede trusselsaktører eksternt at afvikle kode. Udnyttelse kan ved at sende specielt udformede meddelelser til forældet programmeringsgrænseflade.
IBM Aspera Faspex er ifølge Arstechnica en centraliseret filudvekslingsapplikation, som man kan bruge til at overføre store filer eller store mængder filer ved meget høje hastigheder. Det er derfor også primært store organisationer, der anvender produktet.
Rapid7 skriver i sin blogpost, at de er opmærksomme på mindst én hændelse, hvor en kunde blev kompromitteret via CVE-2022-47986, hvorfor de anbefaler, at patching sker med det samme. Ifølge Arstechnica siger andre researchere at sårbarheden bliver udnyttet til at installere ransomware og at en ransomware-gruppe kendt som IceFire udnyttede CVE-2022-47986 til at installere en nyslået Linux-version af sin filkrypterende malware.
IBM rettede sårbarheden i januar og har her i marts genudgivet advisory for at sikre, at ingen er gået glip af den.
Links:
https://www.rapid7.com/blog/post/2023/03/28/etr-active-exploitation-of-ibm-aspera-faspex-cve-2022-47986/
https://arstechnica.com/information-technology/2023/03/ransomware-crooks-are-exploiting-ibm-file-exchange-bug-with-a-9-8-severity/