Information kesehatan untuk 1 juta pasien dicuri menggunakan kerentanan kritis GoAnywhere

Salah satu rantai rumah sakit terbesar di AS mengatakan peretas memperoleh informasi kesehatan yang dilindungi untuk 1 juta pasien setelah mengeksploitasi kerentanan dalam produk perangkat lunak perusahaan yang disebut GoAnywhere.

Sistem Kesehatan Masyarakat Franklin, Tennessee, mengatakan dalam pengajuan ke Komisi Sekuritas dan Bursa pada hari Senin bahwa serangan itu menargetkan GoAnywhere MFT, produk switch file lisensi Fortra yang dikelola ke organisasi besar. Pengajuan mengatakan bahwa penyelidikan yang sedang berlangsung sejauh ini mengungkapkan bahwa peretasan tersebut kemungkinan memengaruhi 1 juta orang. Information yang dikompromikan termasuk informasi kesehatan yang dilindungi sebagaimana didefinisikan oleh Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan, serta informasi pribadi pasien.

Dua minggu lalu, jurnalis Brian Krebs mengatakan di Mastodon bahwa perusahaan keamanan siber Fortra telah mengeluarkan penasehat pribadi kepada pelanggan yang memperingatkan bahwa perusahaan baru-baru ini mengetahui tentang “eksploitasi injeksi kode jarak jauh zero-day” yang menargetkan GoAnywhere. Kerentanan tersebut telah mendapatkan penunjukan CVE-2023-0669. Fortra menambal kerentanan pada 7 Februari dengan rilis 7.1.2.

“Vektor serangan eksploit ini memerlukan akses ke konsol administratif aplikasi, yang dalam kebanyakan kasus hanya dapat diakses dari dalam jaringan perusahaan swasta, melalui VPN, atau dengan alamat IP yang diizinkan (ketika berjalan di lingkungan cloud, seperti Azure atau AWS), ”kata penasehat yang dikutip oleh Krebs. Lebih lanjut dikatakan bahwa peretasan dimungkinkan “jika antarmuka administratif Anda telah diekspos secara publik dan/atau kontrol akses yang sesuai tidak dapat diterapkan ke antarmuka ini.”

Meskipun Fortra mengatakan serangan itu, dalam banyak kasus, hanya mungkin terjadi pada jaringan pribadi pelanggan, pengarsipan Sistem Kesehatan Masyarakat mengatakan Fortra adalah entitas yang “telah mengalami insiden keamanan” dan mengetahui “pelanggaran Fortra” langsung dari perusahaan.

“Sebagai akibat dari pelanggaran keamanan yang dialami oleh Fortra, Protected Well being Info (“PHI”) (sebagaimana didefinisikan oleh Well being Insurance coverage Portability and Accountability Act (“HIPAA”)) dan “Private Info” (“PI”) dari pasien tertentu afiliasi Perusahaan diekspos oleh penyerang Fortra,” kata pengajuan itu.

Dalam e-mail yang mencari klarifikasi tentang jaringan perusahaan mana yang dilanggar, pejabat Fortra menulis: “Pada 30 Januari 2023, kami diberi tahu tentang aktivitas mencurigakan dalam kasus tertentu dari solusi MFTaaS GoAnywhere kami. Kami segera mengambil beberapa langkah untuk mengatasi hal ini, termasuk menerapkan penghentian sementara layanan ini untuk mencegah aktivitas tidak sah lebih lanjut, memberi tahu semua pelanggan yang mungkin terkena dampak, dan membagikan panduan mitigasi, yang menyertakan petunjuk kepada pelanggan lokal kami tentang cara menerapkan tambalan yang baru dikembangkan.” Pernyataan itu tidak merinci.

Fortra menolak berkomentar di luar apa yang diterbitkan dalam pengajuan SEC hari Senin.

Pekan lalu, firma keamanan Huntress melaporkan bahwa pelanggaran yang dialami oleh salah satu pelanggannya merupakan hasil eksploitasi kerentanan GoAnywhere yang kemungkinan besar adalah CVE-2023-0669. Pelanggaran terjadi pada 2 Februari kira-kira pada waktu yang sama Krebs memposting penasihat pribadi ke Mastodon.

Huntress mengatakan bahwa malware yang digunakan dalam serangan itu adalah versi terbaru dari keluarga yang dikenal sebagai Truebot, yang digunakan oleh kelompok ancaman yang dikenal sebagai Silence. Silence, pada gilirannya, memiliki ikatan dengan grup yang dilacak sebagai TA505, dan TA505 memiliki ikatan dengan grup ransomware, Clop.

“Berdasarkan tindakan yang diamati dan pelaporan sebelumnya, kami dapat menyimpulkan dengan keyakinan moderat bahwa aktivitas yang diamati Huntress dimaksudkan untuk menyebarkan ransomware, dengan potensi eksploitasi oportunistik tambahan dari MFT GoAnywhere yang terjadi untuk tujuan yang sama,” tulis peneliti Huntress Joe Slowick.

Lebih banyak bukti yang bertanggung jawab dari Clop datang dari Bleeping Pc. Pekan lalu, publikasi mengatakan anggota Clop bertanggung jawab menggunakan CVE-2023-0669 untuk meretas 130 organisasi tetapi tidak memberikan bukti untuk mendukung klaim tersebut.

Dalam sebuah analisis, peneliti dengan perusahaan keamanan Rapid7 menggambarkan kerentanan sebagai “masalah deserialisasi pra-otentikasi” dengan peringkat “sangat tinggi” untuk eksploitasi dan nilai penyerang. Untuk mengeksploitasi kerentanan, penyerang memerlukan akses tingkat jaringan ke port administrasi MFT GoAnywhere (secara default, port 8000) atau kemampuan untuk menargetkan browser pengguna inside.

Mengingat kemudahan serangan dan peluncuran efektif kode proof-of-concept yang mengeksploitasi kerentanan kritis, organisasi yang menggunakan GoAnywhere harus menganggap serius ancaman tersebut. Menambal, tentu saja, merupakan cara paling efektif untuk mencegah serangan. Langkah-langkah stop-gap yang dapat dilakukan pengguna GoAnywhere jika mereka tidak dapat segera menambal adalah untuk memastikan bahwa akses tingkat jaringan ke port administrator dibatasi untuk jumlah pengguna sesedikit mungkin dan untuk menghapus akses pengguna browser ke titik akhir yang rentan di file internet.xml mereka.