Qualys陷入了Accellion FTA违规行为
Accellion FTA BREACH的范围现在扩大到包括基于云的安全服务供应商质量,其中一些客户数据发布到由CL0P Ransomware Gang操作的黑色Web泄漏网站,如我们姐妹标题Lemagit报道的那样。
Qualys Ciso Ben Carr确认了披露博客中的事件,称该公司在遗留文件传输技术中使用了遗留文件传输技术,以便在客户支持相关的文件转账中,它无点连接到其生产客户数据环境, Qualys云平台。
Carr表示,Qualths已在2020年12月22日在发布后的一天将其服务器应用于其服务器,并在当时采取措施进一步提高其安全性,包括应用额外的修补程序并设置新警报。
在圣诞节前夕,它收到了一个完整性警报,它完全隔离了受影响的服务器,并为支持相关的文件传输提供了替代方案。
“Qualys和Accellion在详细的调查中进行了详细的调查,并确定了对位于Accillion FTA服务器上托管的文件的未经授权访问,”Carr说。“基于这一调查,我们立即通知了受此未经授权访问影响的有限客户。
“调查证实,未经授权的访问仅限于FTA服务器,并且不会影响提供的任何服务或访问质量云平台所托管的客户数据。”
Carr补充:“与任何安全事件一样,调查正在进行中。作为一家安全公司,我们继续寻找提高安全性的方法,为客户提供最强烈的保护。我们参与了Fireeyye Mandiant,该强大的巨大巨大的巨大巨大的旨在扩大更广泛的调查。
“Qualys强烈致力于其客户及其数据的安全性,我们将通知他们应该有关的信息。”
ImmuniWeb的Ilia Kolochenko评论:“Qualys对事件的回应是一种可尊重和专业处理安全事件的可理由。在目前秀的完整性下,我绝对没有理由恐慌。
“事件的本质表明,受影响的客户和其他第三方的数量可能非常有限。此外,敏感数据(例如漏洞报告或客户密码)几乎肯定不受影响。
“所以,我肯定会避免将攻击标记为违规行为,而是安全事件。第三方调查可能会揭示局面,希望能为Qualys客户带来更具保证。“
Qualys加入了Accellion的FTA产品的越来越多的用户,以通过四个不同的漏洞发现数据被盗 - 两者在2020年12月20日和2021年1月的两个 - 在CL0P的受害者羞辱网站上发布。
然而,根据强大的,仍然没有明确指示CL0P团伙与扩展攻击背后的链接的精确性。
截至3月1日,Mandiant已完成对扩大攻击的评估 - 可以下载到这里全面阅读。
该公司表示,遵循广泛的渗透测试和代码审查,所有已知的FTA漏洞现已解决,并且它没有发现攻击者利用的任何其他漏洞 - 尽管它确实发现了两个只能访问的新漏洞(自修补)经过身份验证的用户,因此没有证据表明这些被利用。
“由于逐渐意识到这些攻击,我们的团队一直在运行时钟来开发和释放解决每个已识别的FTA漏洞的修补程序,并支持受此事事件影响的客户,”Accillion Ceo Jonathan Yaron表示。
“我要感谢Mandiant团队在调查这一事件时进行专家合作,并审查我们的软件,以确保所有已知的FTA漏洞确实已关闭。为了更好地确保客户安全在当今的动态威胁环境中,我们决定将自由贸易协定的生命结束加速到2021年4月30日,并继续强烈敦促所有没有这样做的FTA客户,这些客户已经尽快升级到Kiteworks平台。“
Kolochenko表示,对扩张用户的供应链攻击难以检测或预防,并且可能更多的受害者将继续出现随着时间的推移。
“毫无疑问,甚至更多的受害者已经被默默无地地被砍成了,只是不知道入侵,”他说。“勒索和公共威胁是攻击者的最后一个手段,攻击者未能在黑暗的网络上迅速销售战利品,并在受害者以赎金之后进行赎金。类似的供应链攻击在2021年飙升。“
除了实用的情况下,除了迁移远离扩展FTA之外,用户还可以采取措施来保护自己,通过临时隔离或阻止托管软件的系统,评估他们的系统,以便有任何恶意活动的证据包括所披露的指标的证据妥协,并对系统进行调查。
如果发现任何恶意活动,用户应考虑审核FTA用户帐户进行未经授权的更改和重置系统上的用户密码以及系统上的任何安全令牌,以及如果没有这样做,则更新FTA至Version FTA_9_12_432或更高版本。
关于国家网络安全中心的发言人表示:“NCSC致力于保护英国免受网络攻击,并与我们的盟友一起工作,我们将继续加强我们的防御,使我们成为可能的目标。
“我们将鼓励英国的加速自由贸易协定客户遵循本文概述的推荐缓解,并将任何可疑活动报告给苏姆斯科。”