在去年勒索软体骇客组织Clop利用的零时差漏洞当中，最受到关注的是MFT档案传输系统MOVEit Transfer、MOVEit Cloud的漏洞CVE-2023-34362，但还有另一款MFT系统的漏洞也相当值得留意，那就是存在于GoAnywhere的CVE-2023-0669。

这项漏洞引起关注的地方，在于其资讯公开的过程。由于系统开发商Fortra只对用户发布公告，内容必须拥有相关帐号才能检视，这项消息公开于社会大众，最早是透过资安新闻记者Brian Krebs的揭露。

随后这则警讯引起资安界的关注，多名研究人员根据Brian Krebs揭露的资讯，进一步分析漏洞的细节，并公开概念性验证（PoC）程式码，Fortra在数日后，发布新版GoAnywhere予以修补。

事隔两週，Clop声称利用这项漏洞，攻击超过130个企业、组织，随后也有受害组织出面证实资料遭窃。后来Fortra也公布调查结果，表示攻击者可能在他们通知用户2週前，就开始将这项漏洞用于攻击行动。

从iThome的相关报导数量来看，总共有9则，这个数量仅次于排行前三名的漏洞CVE-2023-34362、CVE-2023-4966（Citrix Bleed）、CVE-2023-38831，再加上骇客声称犯案后，陆续有企业组织证实受害，因此，我们决定将这项漏洞列为第5。

资安业者Fortra于去年4月17日公布零时差漏洞CVE-2023-0669事件发生的经过，并指出骇客将其用于攻击GoAnywhere系统，最早可追溯到3个月前。（图片来源／Fortra）

漏洞警讯的公开，竟源自新闻记者的揭露

这项漏洞的公开，源于2月2日资安新闻记者Brian Krebs发出的警告，指出GoAnywhere存在零时差漏洞，可被用于RCE注入攻击，并张贴资安业者Fortra于2月1日对用户发出的公告。

该公告指出，攻击者若要利用该漏洞，必须存取此应用程式的管理主控台，若是组织将该主控台曝露于网际网路，就有可能成为攻击目标，呼吁IT人员可寻求客服团队协助，来採取合适的存取控制措施。

然而，该公司并未在网站发布相关公告，也没有在前述说明提及更多漏洞的细节，也并未提及缓解措施。

2月6日，资安顾问公司Code White的研究人员公布此漏洞的细节，以及概念性验证攻击程式码。

研究人员提出警告，该漏洞可让攻击者在尚未採取缓解措施的GoAnywhere系统上，在不需通过身分验证的情况下，就能远端执行任意程式码。

引发大规模资料窃取攻击

事隔不到2週，便传出Clop将其用于发动大规模攻击的情况，他们号称入侵超过130个组织，并在进入受害组织的网路环境后，窃取GoAnywhere伺服器上的资料。

随后就有组织向主管机关通报资安事故，证实遭到相关攻击。根据资安新闻网站DataBreaches.net报导，美国田纳西州医疗集团Community Health Systems（CHS）于2月13日向该国证交所发出通报，指出他们接获Fortra的通知后着手调查，初估有100万人的病历资料或是个资，因GoAnywhere伺服器遭到入侵而可能会受到影响。

接着，金融科技（Fintech）业者Hatch Bank、日立能源（Hitachi Energy）表示，他们的客户或是员工的资料，因GoAnywhere遭到攻击而外流。

3月23日资安专家Dominic Alvieri发现，Clop公布了新一波的受害名单，当时累计已有72家企业组织被公布，包括加拿大多伦多市政府、维珍（Virgin）集团、P&G、矿业公司力拓（Rio Tinto）、金融机构Axis Bank等，有部分已证实资料遭到外洩的情况。

到了4月17日，Fortra公布事件调查结果，他们起初在1月30日，发现部分云端代管的GoAnywhere系统有异，该公司寻求资安业者Palo Alto Networks协助，着手调查得知骇客利用该漏洞建立使用者帐号，并下载档案，且于受害系统部署Netcat和Errors.jsp，疑似用来建立后门、扫描连结埠、传输档案。

后来，他们发现部分本地建置的GoAnywhere也遭遇漏洞攻击，时间可追溯到1月18日。

?相关报导?