IBM Aspera Faspex 存在多项严重漏洞

重要信息梗概

• 威胁行为者针对 IBM Aspera Faspex 文件传输服务中的多个已知软件漏洞展开攻击。
• 关键漏洞 CVE-2022-47986 是一个预认证的 YAML 反序列化漏洞，严重级别为 9.3。
• Rapid7 建议所有 Aspera Faspex 客户立即进行“紧急补丁”，并在无法及时安装补丁的情况下考虑下线服务。
• 该漏洞与勒索软件团伙活动有关，特别是与 IceFire 勒索软件的入侵活动有关。

最近，威胁行为者针对 IBM Aspera Faspex文件传输服务中的多项已知软件漏洞发起攻击。其中一个关键漏洞，CVE-2022-47986，是一个预认证的 YAML 反序列化漏洞，严重性评级高达 9.3。

据 Rapid7 透露，至少有一个 Aspera Faspex 客户因这个关键漏洞而遭到破坏。他们呼吁所有 Aspera Faspex客户“在紧急情况下进行补丁，而无需等待典型的补丁周期”，因为该平台通常位于网络边界上。

“由于这通常是一个面对互联网的服务，而该漏洞与有关，我们建议如果无法立即安装补丁，则应考虑下线该服务。”

Aspera Faspex 被包括美国航空和 BT Sport 在内的大型组织使用。IBM 网站指出，该工具旨在作为 FTP服务器软件的替代方案，帮助可靠和安全地传输文件。

IBM 在 1 月 26日发布了关于该平台多个安全问题的，其中包括 CVE-2022-47986。Aspera Faspex 4.4.2 Patch Level 1及早期版本的缺陷可能允许威胁行为者在系统上远程执行任意代码。

IBM 此前曾警告称：“通过发送精心构造的过时 API 调用，攻击者可能利用此漏洞在系统上执行任意代码。”

该咨询还包括了一个系统更新，移除了过时的 API 调用。然而，一些组织可能未能及时修补这一漏洞，导致该缺陷依然处于开放状态。

根据 Rapid7 的研究，关于这些漏洞的详细信息及其工作示例代码已于 2 月公开发布。自那时以来，研究人员观察到多起这些缺陷被利用的报告，包括正在进行的 IceFire 勒索软件攻击活动。

在 3 月初，SentinelLabs 观察到 IceFire 勒索软件的 Linux版本在多个全球媒体和娱乐行业组织的企业网络入侵中被部署。对这些攻击的取证显示，攻击者通过关键的 Aspera Faspex 漏洞部署了勒索软件。

IceFire 恶意软件背后的威胁行为者曾专注于针对 Windows 平台，但现在已将目标扩展到 Linux设备。该团伙使用的策略包括“重大猎杀”勒索软件家族中的双重勒索、大型企业目标、持久性机制以及删除日志文件以规避分析。

该团伙的主要目标包括科技公司。SentinelLabs 还观察到对媒体和娱乐公司的攻击。据了解，早至 2 月 13日就已经存在的漏洞，ShadowServer 数据显示大约仍有 50 台服务器未打补丁。

未打补丁的漏洞在过去六个月中导致了大量的攻击。最近，Fortra GoAnywhere MFT管理文件传输应用程序成为新的攻击目标，众多实体通过平台中的未修补零日漏洞成功入侵。

数据显示，2 月份估计有超过 1,000 个本地实例存在远程代码注入漏洞。截至目前， 多个受害者，包括与田纳西州 Community HealthSystems 相关的 100 万名患者。这些攻击与早期的[Accellion 文件