IBM Aspera Faspex 是一個被企業(yè)廣泛采用的文件傳輸應用程序，以能夠安全和快速傳輸大型文件而廣受青睞。

安全專家警告說，IBM 于2022年12月8日在軟件中修補的一個漏洞（可用于回避身份驗證和遠程利用代碼）正在被多組使用加密惡意軟件的攻擊者濫用。

雖然該漏洞在12月被修補，但IBM并沒有立即詳細說明該漏洞隨后便在更新中修復了漏洞。在1月26日的安全警報中，IBM表示，該漏洞被命名為CVE-2022-47986，CVSS基本評分為9.8，可允許遠程攻擊者在系統(tǒng)上執(zhí)行任意代碼。

隨后，惡意活動追蹤組織Shadowserver在2月13日警告說，他們發(fā)現(xiàn)攻擊者試圖利用Aspera Faspex未更新版本中的CVE-2022-47986。

軟件開發(fā)商Raphael Mendon?a 2月16日報告說，一個名為BuhtiRansom的組織正在 用CVE-2022-47986加密多個服務器。

Buhti是一個相對較新的勒索軟件組織，今年2月，該組織引導受害者通過 SatoshiDisk.com，一個目前托管在Cloudflare IP上支持比特幣來支付贖金的網站。

勒索軟件組織針對文件傳輸軟件或設備也不是什么新鮮事了。Clop集團在最近幾個月針對Fortra公司廣泛使用的文件傳輸軟件GoAnywhere MFT的用戶進行了大規(guī)模的攻擊活動。通過利用一個零日漏洞以及對于以前版本未更新的用戶，目前已經有超過130名受害者。

安全公司Rapid7本周建議Aspera Faspex用戶立即將他們的軟件卸載，或者將其升級到有補丁的版本。

該漏洞是Ruby on Rails代碼中的一個反序列化漏洞，存在于IBM Aspera Faspex 4.4.2版及以前的版本中。IBM通過刪除API調用來修復該漏洞。用戶也可以升級到Faspex 5.x版本來避免該漏洞。

IceFire針對文件傳輸軟件

Buhti不是唯一攻擊IBM文件傳輸軟件的勒索軟件組織。SentinelOne的威脅情報部門SentinelLabs在3月9日報告說，他們觀察到CVE-2022-47986被IceFire利用。

該組織以前專注于攻擊Windows系統(tǒng)，以雙重勒索戰(zhàn)術為基礎，喜歡獵殺大型游戲。從以前的報告中看，IceFire喜歡以技術公司為目標；然而SentinelLabs觀察到最近他們開始轉向針對媒體和娛樂部門發(fā)起攻擊。

SentinelOne表示，在最新的活動中，該組織首次通過Aspera漏洞開始打擊Linux系統(tǒng)。對Linux 發(fā)起勒索軟件攻擊比對Windows更困難，因為Linux往往在服務器上運行，這意味著傳統(tǒng)的感染載體，如網絡釣魚或驅動式下載無法生效。也因此攻擊者轉向利用應用程序的漏洞，正如IceFire通過IBM Aspera漏洞部署有效載荷所證明的那樣。當然，Buhti勒索軟件組織也是如此。

發(fā)現(xiàn)CVE-2022-47986的功勞歸功于連續(xù)安全平臺Assetnote的安全研究人員Maxwell Garrett和Shubham Shah。他們在2022年10月6日向IBM報告了這個漏洞，并在2月2日發(fā)布了公開的細節(jié)，以及概念驗證的利用代碼。

參考鏈接：www.inforisktoday.com/ransomware-groups-hit-unpatched-ibm-file-transfer-software-a-21569