IBM Aspera Faspex 是一個(gè)被企業(yè)廣泛采用的文件傳輸應(yīng)用程序，以能夠安全和快速傳輸大型文件而廣受青睞。

安全專家警告說，IBM 于2022年12月8日在軟件中修補(bǔ)的一個(gè)漏洞（可用于回避身份驗(yàn)證和遠(yuǎn)程利用代碼）正在被多組使用加密惡意軟件的攻擊者濫用。

雖然該漏洞在12月被修補(bǔ)，但I(xiàn)BM并沒有立即詳細(xì)說明該漏洞隨后便在更新中修復(fù)了漏洞。在1月26日的安全警報(bào)中，IBM表示，該漏洞被命名為CVE-2022-47986，CVSS基本評(píng)分為9.8，可允許遠(yuǎn)程攻擊者在系統(tǒng)上執(zhí)行任意代碼。

隨后，惡意活動(dòng)追蹤組織Shadowserver在2月13日警告說，他們發(fā)現(xiàn)攻擊者試圖利用Aspera Faspex未更新版本中的CVE-2022-47986。

軟件開發(fā)商Raphael Mendon?a 2月16日?qǐng)?bào)告說，一個(gè)名為BuhtiRansom的組織正在 用CVE-2022-47986加密多個(gè)服務(wù)器。

Buhti是一個(gè)相對(duì)較新的勒索軟件組織，今年2月，該組織引導(dǎo)受害者通過 SatoshiDisk.com，一個(gè)目前托管在Cloudflare IP上支持比特幣來支付贖金的網(wǎng)站。

勒索軟件組織針對(duì)文件傳輸軟件或設(shè)備也不是什么新鮮事了。Clop集團(tuán)在最近幾個(gè)月針對(duì)Fortra公司廣泛使用的文件傳輸軟件GoAnywhere MFT的用戶進(jìn)行了大規(guī)模的攻擊活動(dòng)。通過利用一個(gè)零日漏洞以及對(duì)于以前版本未更新的用戶，目前已經(jīng)有超過130名受害者。

安全公司Rapid7本周建議Aspera Faspex用戶立即將他們的軟件卸載，或者將其升級(jí)到有補(bǔ)丁的版本。

該漏洞是Ruby on Rails代碼中的一個(gè)反序列化漏洞，存在于IBM Aspera Faspex 4.4.2版及以前的版本中。IBM通過刪除API調(diào)用來修復(fù)該漏洞。用戶也可以升級(jí)到Faspex 5.x版本來避免該漏洞。

IceFire針對(duì)文件傳輸軟件

Buhti不是唯一攻擊IBM文件傳輸軟件的勒索軟件組織。SentinelOne的威脅情報(bào)部門SentinelLabs在3月9日?qǐng)?bào)告說，他們觀察到CVE-2022-47986被IceFire利用。

該組織以前專注于攻擊Windows系統(tǒng)，以雙重勒索戰(zhàn)術(shù)為基礎(chǔ)，喜歡獵殺大型游戲。從以前的報(bào)告中看，IceFire喜歡以技術(shù)公司為目標(biāo)；然而SentinelLabs觀察到最近他們開始轉(zhuǎn)向針對(duì)媒體和娛樂部門發(fā)起攻擊。

SentinelOne表示，在最新的活動(dòng)中，該組織首次通過Aspera漏洞開始打擊Linux系統(tǒng)。對(duì)Linux 發(fā)起勒索軟件攻擊比對(duì)Windows更困難，因?yàn)長(zhǎng)inux往往在服務(wù)器上運(yùn)行，這意味著傳統(tǒng)的感染載體，如網(wǎng)絡(luò)釣魚或驅(qū)動(dòng)式下載無法生效。也因此攻擊者轉(zhuǎn)向利用應(yīng)用程序的漏洞，正如IceFire通過IBM Aspera漏洞部署有效載荷所證明的那樣。當(dāng)然，Buhti勒索軟件組織也是如此。

發(fā)現(xiàn)CVE-2022-47986的功勞歸功于連續(xù)安全平臺(tái)Assetnote的安全研究人員Maxwell Garrett和Shubham Shah。他們?cè)?022年10月6日向IBM報(bào)告了這個(gè)漏洞，并在2月2日發(fā)布了公開的細(xì)節(jié)，以及概念驗(yàn)證的利用代碼。

參考鏈接：www.inforisktoday.com/ransomware-groups-hit-unpatched-ibm-file-transfer-software-a-21569