ایک زبردست رینسم ویئر آپریشن پرانی چالوں اور نئے متاثرین کے ساتھ واپس آ گیا ہے۔
کمیونٹی ہیلتھ سسٹمز (CHS)، ریاستہائے متحدہ میں صحت کی دیکھ بھال فراہم کرنے والے سب سے بڑے اداروں میں سے ایک ہے جس میں 16 ریاستوں میں 80 کے قریب اسپتال ہیں، نے اس ہفتے تصدیق کی کہ مجرمانہ ہیکرز نے 10 لاکھ تک مریضوں کی ذاتی اور محفوظ صحت کی معلومات تک رسائی حاصل کی۔
ٹینیسی میں مقیم ہیلتھ کیئر کمپنی نے کہا سرکاری ریگولیٹرز کے ساتھ فائلنگ کہ ڈیٹا کی خلاف ورزی ایک مقبول فائل ٹرانسفر سافٹ ویئر کے استعمال سے ہوتی ہے جسے GoAnywhere MFT کہتے ہیں، جسے فورٹرا نے تیار کیا تھا (پہلے اس کے نام سے جانا جاتا تھا۔ ہیلپ سسٹمز)، جسے بڑے کاروباروں کے ذریعے ڈیٹا کے بڑے سیٹوں کو محفوظ طریقے سے شیئر کرنے اور بھیجنے کے لیے تعینات کیا جاتا ہے۔ کمیونٹی ہیلتھ سسٹمز نے کہا کہ فورٹرا نے حال ہی میں اسے ایک حفاظتی واقعہ کے بارے میں مطلع کیا جس کے نتیجے میں مریضوں کے ڈیٹا کا غیر مجاز انکشاف ہوا۔
کمیونٹی ہیلتھ سسٹمز کی فائلنگ کے مطابق، \”فورٹرا کی طرف سے تجربہ کی گئی سیکورٹی کی خلاف ورزی کے نتیجے میں، کمپنی سے وابستہ افراد کے بعض مریضوں کی محفوظ صحت کی معلومات اور ذاتی معلومات کو فورٹرا کے حملہ آور نے بے نقاب کیا،\” DataBreaches.net. صحت کی دیکھ بھال کرنے والی کمپنی نے مزید کہا کہ وہ شناخت کی چوری سے بچاؤ کی خدمات پیش کرے گا اور تمام متاثرہ افراد کو مطلع کرے گا جن کی معلومات سامنے آئی ہیں، لیکن کہا کہ اس کی مریضوں کی دیکھ بھال کی فراہمی میں کوئی مادی رکاوٹ نہیں آئی ہے۔
CHS نے یہ نہیں بتایا کہ کس قسم کے ڈیٹا کو بے نقاب کیا گیا تھا اور ایک ترجمان نے ابھی تک TechCrunch کے سوالات کا جواب نہیں دیا ہے۔ یہ CHS کا دوسرا معروف ہے۔ مریض کے ڈیٹا کی خلاف ورزی حالیہ برسوں میں.
روس سے منسلک رینسم ویئر گینگ کلپ نے مبینہ طور پر ایک نئی ہیکنگ مہم میں نئے صفر دن کے استحصال کی ذمہ داری لی ہے اور دعویٰ کیا ہے کہ اس نے پہلے ہی سو سے زائد تنظیموں کی خلاف ورزی کی ہے جو فورٹرا کی فائل ٹرانسفر ٹیکنالوجی کا استعمال کرتی ہیں — بشمول CHS۔
جبکہ CHS ایک شکار کے طور پر آگے آنے میں تیزی سے کام کر رہا ہے، Clop کا دعویٰ بتاتا ہے کہ وہاں درجنوں مزید متاثرہ تنظیمیں ہو سکتی ہیں – اور اگر آپ GoAnywhere کے ہزاروں صارفین میں سے ایک ہیں، تو آپ کی کمپنی ان میں شامل ہو سکتی ہے۔ شکر ہے، سیکورٹی ماہرین نے صفر ڈے کے بارے میں معلومات کا ایک گروپ شیئر کیا ہے اور آپ اس سے حفاظت کے لیے کیا کر سکتے ہیں۔
GoAnywhere کی کمزوری کیا ہے؟
فورٹرا کے GoAnywhere سافٹ ویئر میں صفر دن کے خطرے کی تفصیلات – اس طرح ٹریک کیا گیا CVE-2023-0669 — سب سے پہلے سیکورٹی صحافی برائن کریبس نے 2 فروری کو جھنڈا لگایا تھا۔ پر ایک پوسٹ میں مستوڈن، کریبس نے ایک دن پہلے جاری کردہ فورٹرا کی سیکیورٹی ایڈوائزری کا مکمل متن شیئر کیا، جو اس کی عوامی ویب سائٹ سے قابل رسائی نہیں ہے۔ بلکہ، صارفین کو کمزوری کی رپورٹ تک رسائی حاصل کرنے کے لیے فورٹرا اکاؤنٹ بنانا پڑا، یہ ایک ایسا اقدام ہے جس پر سائبر سیکیورٹی ماہرین کی طرف سے شدید تنقید کی گئی ہے۔
\”GoAnywhere MFT میں صفر دن کے ریموٹ کوڈ انجیکشن کے استحصال کی نشاندہی کی گئی تھی،\” فورٹرا نے اپنی پوشیدہ ایڈوائزری میں کہا۔ \”اس استحصال کے حملے کے ویکٹر کو ایپلی کیشن کے انتظامی کنسول تک رسائی کی ضرورت ہوتی ہے، جو زیادہ تر معاملات میں صرف نجی کمپنی کے نیٹ ورک کے اندر سے، VPN کے ذریعے، یا اجازت یافتہ آئی پی ایڈریس کے ذریعے قابل رسائی ہے (جب کلاؤڈ ماحول میں چل رہا ہو، جیسے Azure یا AWS)۔
ایک ___ میں تکنیکی تجزیہ 7 فروری کو شائع ہونے والی خامی کے بارے میں، سائبرسیکیوریٹی کمپنی Rapid7 نے اس کیڑے کے استحصال کو — اور حملہ آور کے لیے قیمت — کو \”بہت زیادہ\” قرار دیا، اس ڈیٹا کی حساسیت کو دیکھتے ہوئے جو کمپنیاں GoAnywhere کے ذریعے بھیجتی ہیں۔
سیکیورٹی محققین نے تیزی سے کمزوری کو پہلے کے صفر دن کی خامی سے تشبیہ دی جو Accellion کے اب ناکارہ لیگیسی فائل ٹرانسفر اپلائنس (FTA) کو متاثر کرتی ہے، جس نے GoAnywhere کی طرح تنظیموں کو حساس ڈیٹا سیٹس کو محفوظ طریقے سے شیئر کرنے کی اجازت دی۔ Clop ransomware گینگ 2020 میں Accellion کی خرابی کا غلط استعمال کرتے ہوئے پایا گیا تھا۔ کئی تنظیموں کی خلاف ورزیبشمول Qualys, Shell, the University of Colorado, Kroger, and Morgan Stanley.
اب کلپ رینسم ویئر گینگ – جس نے حال ہی میں سرخیاں بنائیں اس کا نیا لینکس ویرینٹ – بتایا بلیپنگ کمپیوٹر کہ اس نے پہلے ہی 130 سے زیادہ تنظیموں سے ڈیٹا چوری کرنے کے لیے GoAnywhere کے خطرے سے فائدہ اٹھایا ہے۔ Clop نے اپنے دعوے کے لیے کوئی ثبوت فراہم نہیں کیا، اور Clop کی ڈارک ویب لیک سائٹ لکھتے وقت Fortra یا GoAnywhere کا کوئی ذکر نہیں کرتی۔
فورٹرا نے ٹیک کرنچ کے سوالات کا جواب نہیں دیا۔
کیا مجھے فکر کرنی چاہیے؟
GoAnywhere کی کمزوری کے استحصال کے بارے میں خدشات کو بڑھا چڑھا کر پیش نہیں کیا گیا ہے۔
سائبرسیکیوریٹی فرم ہنٹریس نے اطلاع دی۔ پچھلا ہفتہ کہ اس نے کسی صارف کے نیٹ ورک میں دخل اندازی کی تحقیقات کی جس میں GoAnywhere صفر دن کا استحصال شامل تھا۔ ہنٹریس نے مداخلت کو روسی بولنے والے دھمکی آمیز اداکار سے جوڑا جسے وہ \”خاموشی\” کہتا ہے، جس کا تعلق TA505 کے نام سے ایک دوسرے گروپ سے ہے، جو کہ ایک مجرمانہ ہیکنگ عملہ ہے جو کم از کم 2016 سے سرگرم ہے اور تعیناتی میں شامل ہدفی مہموں کے لیے جانا جاتا ہے۔ کلپ رینسم ویئر کا۔
\”مشاہدہ کیے گئے اقدامات اور پچھلی رپورٹنگ کی بنیاد پر، ہم اعتدال پسند اعتماد کے ساتھ یہ نتیجہ اخذ کر سکتے ہیں کہ ہنٹریس نے جو سرگرمی دیکھی ہے اس کا مقصد ransomware کو تعینات کرنا تھا، اسی مقصد کے لیے GoAnywhere MFT کا ممکنہ طور پر اضافی موقع پرست استحصال ہو رہا ہے،\” جو سلووک نے کہا، تھریٹ انٹیلیجنس مینیجر شکاری
ہنٹریس نے کہا کہ کمزوری کی سادگی کو دیکھتے ہوئے، یہ اب \”وسیع تر سرگرمی\” دیکھنے کی توقع کرتا ہے کہ GoAnywhere صفر دن کے استحصال کا فعال طور پر استحصال کیا جا رہا ہے۔
سیکیورٹی پیچ دستیاب ہیں۔
فورٹرا ایک ہنگامی پیچ جاری کیا — ورژن 7.1.2 — 7 فروری کو اور GoAnywhere کے تمام صارفین پر زور دیا کہ وہ جلد از جلد درستگی کا اطلاق کریں۔ کمپنی نے کہا، \”خاص طور پر ان صارفین کے لیے جو انٹرنیٹ کے سامنے ایک ایڈمن پورٹل چلا رہے ہیں، ہم اسے ایک فوری معاملہ سمجھتے ہیں۔\”
امریکی سائبرسیکیوریٹی ایجنسی CISA نے اس دوران GoAnywhere کی خامی کو اس میں شامل کیا ہے۔ معلوم استحصال زدہ کمزوریوں کا عوامی کیٹلاگ اور حکم دیا ہے تمام وفاقی سویلین ایگزیکٹو برانچ ایجنسیاں 3 مارچ سے پہلے اپنے سسٹمز کو پیچ کرنا۔