Een kwetsbaarheid in IBM Aspera Faspex-servers wordt actief uitgebuit door ransomware-criminelen, waarschuwen onderzoekers.
Hackers maken gebruik van een kritieke kwetsbaarheid in een bestandsuitwisselingsapplicatie van IBM. Volgens beveiligingsonderzoekers gebruiken de criminelen het lek om ransomware op servers te installeren.
Het doelwit van deze cybercriminelen zijn organisaties die beschikken over het IBM Aspera Faspex serverplatform. Faspex is een gecentraliseerde bestandsuitwisselingsapplicatie die grote organisaties gebruiken om grote bestanden of grote hoeveelheden bestanden met zeer hoge snelheid te verzenden.
Aspera gebruikt IBM’s eigen FASP, wat een acroniem is voor “Fast, Adaptive, and Secure Protocol”. Het protocol is ontworpen om de beschikbare netwerkbandbreedte beter te benutten. Het product biedt ook “fijnmazig beheer” waarmee gebruikers bestanden kunnen sturen naar een lijst van ontvangers in distributielijsten, gedeelde inboxen of werkgroepen. Dit geeft bestandsoverdrachten een workflow die vergelijkbaar is met e-mail.
CVE-2022-47986
Op 26 januari 2023 publiceerde IBM een advisory voor meerdere beveiligingsproblemen met zijn Aspera Faspex software. De meest kritieke was CVE-2022-47986, een YAML deserialisatie kwetsbaarheid in Ruby on Rails code. De kwetsbaarheid heeft een CVSS-score (Common Vulnerability Scoring System) van 9,8 op 10.
Op dinsdag publiceerden onderzoekers van beveiligingsbedrijf Rapid7 een blogpost die een recent incident beschrijft waarbij een van hun klanten werd gecompromitteerd via CVE-2022-47986.
De details van de kwetsbaarheid en het werkende proof-of-concept zijn volgens Rapid7 al sinds februari beschikbaar. Ze voegen eraan toe dat er sindsdien meerdere meldingen van uitbuiting zijn geweest, waaronder het gebruik van de kwetsbaarheid in de IceFire ransomware campagne. Rapid7-kwetsbaarheidsonderzoekers publiceerden in februari 2023 een volledige analyse van CVE-2022-47986 in AttackerKB.
“Gezien het lek actief wordt misbruikt en het feit dat Aspera Faspex typisch op de netwerkperimeter wordt geïnstalleerd, raden we sterk aan om op noodbasis te patchen, zonder te wachten op een reguliere patchcyclus”, schreven ze.
Volgens IBM omvatten de getroffen producten Aspera Faspex 4.4.2 Patch Level 1 en lager. CVE-2022-47986 is verholpen in 4.4.2 Patch Level 2.