美國、英國、澳洲、紐西蘭及新加坡共同發布聯合網路安全建議(Joint Cybersecurity Advisory),指出軟體供應商Accellion受駭事件已涉及政府機關與私人企業,造成組織資料外洩。此外,許多組織收到駭客勒索信件要求支付贖金,否則將公開其機敏資訊。
駭客於2020年12月中利用Accellion檔案傳輸服務(File Transfer Appliance, FTA)之零時差漏洞進行攻擊行動,Accellion得知後於12月23日修補該漏洞,然而同群駭客於2021年1月利用其它4個FTA零時差漏洞,針對使用FTA之用戶展開攻擊行動,影響近50個組織。
上述5個國家皆為此一攻擊事件之受駭者,受駭單位包括政府機構與私人企業,範圍涵蓋醫療、法律、電信、金融及能源等領域,協助Accellion進行調查之資安業者FireEye則指出,受駭國家亦包括加拿大與荷蘭。
聯合網路安全建議Accellion FTA用戶應隔離或暫停使用該服務,並更新至最新版本。此外,本項產品將於2021年4月30日終止服務, Accellion呼籲FTA用戶使用其他服務。
Accellion FTA 漏洞CVE 編號為:
- CVE-2021-27101 – SQL injection via a crafted Host header
- CVE-2021-27102 – OS command execution via a local web service call
- CVE-2021-27103 – SSRF via a crafted POST request
- CVE-2021-27104 – OS command execution via a crafted POST request
本文轉載自NCCST。