Rubrikpemasok manajemen data cloud dan layanan keamanan, telah mengungkapkan pelanggaran data, yang mungkin disebabkan oleh operasi ransomware Clop (alias Cl0p).yang muncul melalui zero-day yang dilaporkan sebelumnya dalam perangkat lunak transfer file terkelola (MFT) pemasok pihak ketiga.

Masalahnya, ditemukan di MFT GoAnywhere Fortra produk, pertama kali dikomunikasikan ke Rubrik pada Februari 2023. Zero-day yang dimaksud, CVE-2023-0669adalah kerentanan injeksi perintah pra-otentikasi di Servlet Respons Lisensi GoAnywhere mengarah ke eksekusi kode jarak jauh (RCE).

Kerentanan telah ditambal di versi 7.1.2tetapi tidak sebelum Clop menggunakannya di lebih dari 130 serangan dunia maya yang diketahui. Geng tersebut dikenal sangat parsial dalam mengeksploitasi masalah dalam produk dan layanan transfer file.

Rubrik – salah satu dari banyak perusahaan teknologi dengan warisan dalam penyimpanan sekarang beralih ke dunia keamanan cyber – mengatakan penyelidikannya sekarang telah menentukan bahwa penyerang memang telah mengakses sistemnya setelah mengeksploitasi CVE-2023-0669,

Rubrik tidak memberikan indikasi apakah Clop mengakses sistemnya atau tidak, dan tidak secara eksplisit menyatakan telah menjadi korban serangan ransomware. Namun, geng itu mengerti telah mendaftarkan Rubrik di situs kebocoran web gelapnya dan mungkin mengancam untuk merilis data.

Michael Mestrovich, Rubrik CISO, berkata: “Kami mendeteksi akses tidak sah ke informasi dalam jumlah terbatas di salah satu lingkungan pengujian TI non-produksi kami sebagai akibat dari kerentanan GoAnywhere.

“Yang penting, berdasarkan penyelidikan kami saat ini, yang dilakukan dengan bantuan ahli forensik pihak ketiga, akses tidak sah tidak termasuk data apa pun yang kami amankan atas nama pelanggan kami melalui produk Rubrik apa pun.”

Meskipun demikian, tinjauan forensik telah menemukan bahwa data yang terekspos memang berhubungan dengan beberapa pelanggan dan mitra salurannya dalam bentuk informasi penjualan internal.

“[This] termasuk nama perusahaan pelanggan dan mitra tertentu, informasi kontak bisnis, dan sejumlah pesanan pembelian dari distributor Rubrik,” kata Mestrovich.

“Perusahaan pihak ketiga juga telah mengonfirmasi bahwa tidak ada data pribadi yang sensitif seperti nomor jaminan sosial, nomor rekening keuangan, atau nomor kartu pembayaran yang terungkap.”

Mestrovich menambahkan bahwa penyelidikan tidak menemukan bukti bahwa penyerangnya mampu melakukan gerakan lateral ke lingkungan lain. Dia mengatakan bahwa lingkungan non-produksi segera dimatikan, dan sistem serta solusi Rubrik sendiri digunakan untuk mengatasi ancaman dan memulihkan lingkungan ke urutan kerja penuh.

“Sebagai perusahaan keamanan siber, keamanan data pelanggan yang kami jaga adalah prioritas utama kami. Jika kami mempelajari informasi tambahan yang relevan, kami akan memperbarui posting ini, ”kata Mestrovich.

“Kami dengan tulus menyesali segala kekhawatiran yang mungkin Anda alami, dan seperti biasa, kami menghargai kemitraan berkelanjutan Anda dan menantikan kerja sama berkelanjutan kita.”

Dalam pernyataan email yang dibagikan dengan gelar saudara perempuan Computer Weekly Keamanan TechTargetFortra mengatakan telah mengambil beberapa langkah untuk mengatasi kerentanan, termasuk membuat GoAnywhere offline untuk sementara waktu, memberi tahu pelanggan yang terkena dampak, dan membagikan panduan mitigasi.

Kerentanan itu juga ditambahkan ke Cybersecurity and Infrastructure Security Agency (CISA) Amerika Serikat. Kerentanan Tereksploitasi yang Diketahui katalog, yang berarti badan-badan pemerintah federal AS wajib menambalnya pada tanggal tertentu.

Itu telah muncul di radar CISA berarti kerentanan dianggap sangat berbahaya, sehingga pengguna Fortra GoAnywhere harus memprioritaskan tindakan perbaikan.