Community Health Systems (CHS) – אחד מספקי שירותי הבריאות הגדולים בארצות הברית עם קרוב ל- 80 בתי חולים ב- 16 מדינות, אישרה השבוע שהאקרים השיגו גישה למידע הבריאותי האישי והמוגן של כמיליון חולים. ענקית שירותי הבריאות בטנסי ציינה בפני הרגולטורים הממשלתיים כי דלף המידע קרה עקב השימוש שלה בתוכנה פופולרית להעברת קבצים בשם GoAnywhere MFT, שפותחה על ידי Fortra (שנודעה בעבר בשם HelpSystems). תוכנה זו נמצאת בשימוש עסקים גדולים כדי לשתף ולשלוח קבוצות גדולות של נתונים בצורה מאובטחת. Community Health Systems מסרה כי Fortra הודיעה לה לאחרונה על אירוע אבטחת מידע שגרם לחשיפה בלתי מורשית של נתוני המטופלים.
CHS לא דיווחה אילו סוגי נתונים נחשפו ודובר החברה עדיין לא הגיב לשאלות חוקרי אתר TechCrunch. יש לציין כי זהו דלף המידע השני של CHS בנתוני המטופלים בשנים האחרונות. ענקית שירותי הבריאות דיווחה כי היא תציע שירותי הגנת גניבת זהות ותודיע לכל האנשים שנפגעו שהמידע שלהם נחשף, אך הוסיפה כי לא הייתה הפרעה מהותית למתן הטיפול בחולים.
כנופיית הכופרה המקושרת לרוסיה – Clop נטלה על פי הדיווחים אחריות על ניצול יום האפס החדש במתקפת הסייבר וטוענת שכבר פרצה יותר ממאה ארגונים המשתמשים בטכנולוגיית העברת הקבצים של Fortra כולל CHS. בעוד ש- CHS מיהרה להציג את עצמה כקורבן מתקפת הסייבר, הטענה של Clop מאשרת כי יכולים להיות עוד עשרות ארגונים שהושפעו ממתקפת הסייבר, כאשר כל ארגון המשתמש ב- GoAnywhere יכול להיות ביניהם. למרבה המזל, מומחי אבטחת מידע שיתפו את מחקרם על ניצול יום האפס ומה ניתן לעשות כדי להתגונן מפניו.
פרטים על הפגיעות של יום האפס בתוכנת GoAnywhere של Fortra סומנו לראשונה על ידי עיתונאי אבטחת הסייבר בריאן קרבס ב- 2 בפברואר. בפוסט באתר Mastodon שיתף קרבס את הטקסט המלא של דוח פגיעות האבטחה של Fortra, אשר יום קודם לכן לא היה נגיש מאתר האינטרנט של החברה. במקום זאת היו צריכים המשתמשים ליצור חשבון Fortra כדי לגשת לדוח הפגיעות, מהלך שזכה לביקורת נוקבת מצד מומחי אבטחת סייבר. Fortra טוענת כי ניצול הזרקת קוד מרחוק של יום אפס זוהה ב- GoAnywhere MFT. וקטור המתקפה של ניצול זה דורש גישה לקונסולת הניהול של האפליקציה, שברוב המקרים היא נגישה רק מתוך רשת חברה פרטית, דרך VPN, או על ידי כתובות IP רשומות (כאשר התוכנה פועלת בסביבות ענן, כגון Azure או AWS). בניתוח טכני של הפגם שפורסם ב- 7 בפברואר, תיארה חברת אבטחת הסייבר Rapid7 את יכולת הניצול של הבאג ואת הערך להאקרים כ"גבוה מאוד", בהתחשב ברגישות הנתונים שחברות שולחות דרך GoAnywhere. חוקרי אבטחת סייבר מיהרו להשוות את הפגיעות לפגם מוקדם יותר של יום אפס המשפיע על תוכנת העברת הקבצים הישנה של Accellion (FTA), אשר כמו GoAnywhere, אפשרה לארגונים לשתף בצורה מאובטחת מערכי נתונים רגישים. כנופיית הכופרה Clop נמצאה מנצלת את הפגם של Accellion כבר בשנת 2020 כדי לפרוץ למספר ארגונים, כולל Qualys, Shell, אוניברסיטת קולורדו, קרוגר ומורגן סטנלי.
כעת, כנופיית הכופרה Clop, שעלתה לאחרונה לכותרות עם גרסת לינוקס חדשה, אמרה לאתר Bleeping Computer שהיא כבר ניצלה את הפגיעות של GoAnywhere כדי לגנוב נתונים מיותר מ- 130 ארגונים. Clop לא סיפקה ראיות לטענתה ובזמן כתיבת שורות אלו, לא מזכיר אתר ההדלפות של Clop ברשת האפלה לא את Fortra או GoAnywhere.