Les acteurs de la menace exploitent une vulnérabilité critique dans une application d’échange de fichiers IBM dans des hacks qui installent des ransomwares sur les serveurs, ont averti des chercheurs en sécurité.
IBM Aspera Faspex est une application d’échange de fichiers centralisée que les grandes organisations utilisent pour transférer des fichiers volumineux ou de gros volumes de fichiers à des vitesses très élevées. Plutôt que de s’appuyer sur des technologies basées sur TCP telles que FTP pour déplacer des fichiers, Aspera utilise le FASP propriétaire d’IBM, abréviation de Fast, Adaptive, and Secure Protocol, pour mieux utiliser la bande passante réseau disponible. Le produit offre également une gestion fine qui permet aux utilisateurs d’envoyer facilement des fichiers à une liste de destinataires dans des listes de distribution ou des boîtes de réception partagées ou des groupes de travail, donnant aux transferts un flux de travail similaire à celui des e-mails.
Fin janvier, IBM a mis en garde contre une vulnérabilité critique dans les versions 4.4.2 Patch Level 1 et antérieures d’Aspera et a exhorté les utilisateurs à installer une mise à jour pour corriger la faille. Suivie sous le nom de CVE-2022-47986, la vulnérabilité permet aux pirates non authentifiés d’exécuter à distance du code malveillant en envoyant des appels spécialement conçus à une interface de programmation obsolète. La facilité d’exploitation de la vulnérabilité et les dommages qui pourraient en résulter ont valu à CVE-2022-47986 un indice de gravité de 9,8 sur 10 possibles.
Mardi, des chercheurs de la société de sécurité Rapid7 ont déclaré avoir récemment répondu à un incident au cours duquel un client a été piraté en utilisant la vulnérabilité.
« Rapid7 est au courant d’au moins un incident récent où un client a été compromis via CVE-2022-47986 », ont écrit les chercheurs de l’entreprise. « Compte tenu de l’exploitation active et du fait qu’Aspera Faspex est généralement installé sur le périmètre du réseau, nous recommandons fortement d’appliquer des correctifs en urgence, sans attendre qu’un cycle de correctifs typique se produise. »
Selon d’autres chercheurs, la vulnérabilité est exploitée pour installer un rançongiciel. Les chercheurs de Sentinel One, par exemple, ont récemment déclaré qu’un groupe de logiciels de rançon connu sous le nom d’IceFire exploitait CVE-2022-47986 pour installer une nouvelle version Linux de son logiciel malveillant de cryptage de fichiers. Auparavant, le groupe ne poussait qu’une version de Windows installée à l’aide d’e-mails de phishing. Parce que les attaques de phishing sont plus difficiles à réaliser sur les serveurs Linux, IceFire s’est tourné vers la vulnérabilité IBM pour diffuser sa version Linux. Les chercheurs ont également signalé que la vulnérabilité est être exploité pour installer un ransomware connu sous le nom de Buhti.
Comme indiqué précédemment, IBM a corrigé la vulnérabilité en janvier. IBM a republié son avis plus tôt ce mois-ci pour s’assurer que personne ne l’a manqué. Les personnes qui souhaitent mieux comprendre la vulnérabilité et comment atténuer les attaques potentielles contre les serveurs Aspera Faspex devraient consulter les publications ici et ici des sociétés de sécurité Assetnote et Rapid7.