Cliente de Rubrik, datos de socios expuestos en un posible ataque Clop

Rubrik, un proveedor de servicios de seguridad y administración de datos en la nube, reveló una violación de datos, posiblemente atribuible a la operación de ransomware Clop (también conocido como Cl0p), que surgió a través de un día cero informado previamente en la transferencia de archivos administrados (MFT) de un proveedor externo. software.

El problema, encontrado en el producto GoAnywhere MFT de Fortra, se comunicó por primera vez a Rubrik en febrero de 2023. El día cero en cuestión, CVE-2023-0669, es una vulnerabilidad de inyección de comando de autenticación previa en el servlet de respuesta de licencia de GoAnywhere que conduce a un código remoto ejecución (RCE).

La vulnerabilidad se corrigió en la versión 7.1.2, pero no antes de que Clop la usara en más de 130 ataques cibernéticos conocidos. Se sabe que la pandilla es particularmente partidaria de explotar problemas en los productos y servicios de transferencia de archivos.

Rubrik, una de las muchas empresas de tecnología con una herencia en almacenamiento que ahora está en transición hacia el mundo de la seguridad cibernética, dijo que su investigación ahora había determinado que un atacante había accedido a sus sistemas después de explotar CVE-2023-0669,

Rubrik no dio ninguna indicación sobre si Clop accedió o no a sus sistemas, y no declaró explícitamente que había sido víctima de un ataque de ransomware. Sin embargo, la pandilla se entiende haber incluido a Rubrik en su sitio de fugas en la dark web y puede estar amenazando con divulgar datos.

Michael Mestrovich, Rubrik CISO, dijo: “Detectamos acceso no autorizado a una cantidad limitada de información en uno de nuestros entornos de prueba de TI que no son de producción como resultado de la vulnerabilidad de GoAnywhere.

Más contenido para leer:  Google lanza el almacenamiento de archivos Parallelstore en la formación de IA en la nube

“Es importante destacar que, según nuestra investigación actual, realizada con la asistencia de expertos forenses externos, el acceso no autorizado no incluyó ningún dato que protejamos en nombre de nuestros clientes a través de ningún producto de Rubrik”.

Si bien este puede ser el caso, la revisión forense, sin embargo, encontró que los datos expuestos se relacionan con algunos de sus clientes y socios de canal en forma de información de ventas internas.

“[This] incluye ciertos nombres de clientes y empresas asociadas, información de contacto comercial y un número limitado de órdenes de compra de los distribuidores de Rubrik”, dijo Mestrovich.

“La firma de terceros también ha confirmado que no se expusieron datos personales confidenciales, como números de seguro social, números de cuentas financieras o números de tarjetas de pago”.

Mestrovich agregó que la investigación no ha encontrado evidencia de que su atacante haya podido realizar ningún movimiento lateral a otros entornos. Dijo que el entorno de no producción se desconectó de inmediato y que los propios sistemas y soluciones de Rubrik se usaron para contener la amenaza y restaurar el entorno para que funcionara por completo.

“Como empresa de ciberseguridad, la seguridad de los datos de los clientes que mantenemos es nuestra máxima prioridad. Si obtenemos información adicional relevante, actualizaremos esta publicación”, dijo Mestrovich.

“Lamentamos sinceramente cualquier preocupación que esto pueda causarles y, como siempre, apreciamos su colaboración continua y esperamos con ansias nuestro trabajo continuo juntos”.

En una declaración enviada por correo electrónico compartida con el título hermano de Computer Weekly, TechTarget Security, Fortra dijo que había tomado varias medidas para abordar la vulnerabilidad, incluida la desconexión temporal de GoAnywhere, la notificación a los clientes afectados y el intercambio de orientación de mitigación.

Más contenido para leer:  Sistemas de archivos globales: una vista única de los datos locales y en la nube

La vulnerabilidad también se agregó al catálogo de Vulnerabilidades Conocidas Explotadas de la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA), lo que significa que las agencias del gobierno federal de los Estados Unidos están obligadas a parchearla en una fecha determinada.

El hecho de que haya aparecido en el radar de CISA significa que la vulnerabilidad se considera excepcionalmente peligrosa, por lo que los usuarios de Fortra GoAnywhere deben priorizar la acción correctiva.

Nuestro objetivo fué el mismo desde 2004, unir personas y ayudarlas en sus acciones online, siempre gratis, eficiente y sobre todo fácil!

¿Donde estamos?

Mendoza, Argentina

Nuestras Redes Sociales