網路犯罪分子瞄準關鍵的IBM檔案傳輸漏洞

IBM的Aspera Faspex檔案傳輸堆疊中存在一個允許任意程式碼執行的嚴重漏洞，這引起了包括勒索軟體團夥在內的越來越多的網路犯罪分子的注意，因為組織未能修補。

本週，網安公司的研究人員強調，在IBM釋出了針對這一嚴重漏洞的補丁幾個月後，該漏洞正在被外界利用，並指出該公司的一名客戶最近受到了該漏洞的影響，該漏洞被追蹤為CVE-2022-47986。研究人員表示需要立即採取行動。

安全研究人員在一篇部落格文章中警告稱:“我們強烈建議在緊急情況下打補丁，而不是等到出現問題。”

CVSS 9.8

IBM Aspera Faspex是一個基於雲的檔案交換應用程式，它利用快速自適應和安全協議(Fast Adaptive and Secure Protocol, FASP)允許組織以比普通基於TCP的連線更快的速度傳輸檔案。根據Enlyft的說法，Aspera服務被Red Hat和加利福尼亞大學等大型組織使用。

該漏洞存在於Faspex版本4.4.2 Patch Level 1中，並在CVSS漏洞嚴重等級上獲得9.8分(滿分為10分)。

IBM在1月26日釋出的安全公告中解釋說:“透過傳送一個特製的過時API呼叫，攻擊者可以遠端將他們自己的程式碼部署到任何執行Faspex的目標系統上。”

該漏洞於2022年10月6日報告給IBM，並於12月8日在4.4.2 Patch Level 2中進行了修復。

今年早些時候，該補丁釋出後不久，IceFire勒索軟體組織就開始攻擊Windows系統，轉而攻擊Linux系統。在這樣做的過程中，它遇到了一個技術問題:Windows無處不在，但Linux最常執行在伺服器上。出於這個原因，他們轉向了針對該環境的一種新的入侵方法:利用CVE-2022-47986。

從那以後，其他網路犯罪組織開始利用這個簡單而強大的漏洞。今年2月，一個未知的威脅行為者用它來部署Buhti勒索軟體，此前Shadowserver基金會發現了實時嘗試。

為什麼不是每個人都已經打補丁了?

據Condon稱，在生活中，嚴重的問題很少有即時補救措施，但CVE-2022-47986完全可以透過簡單升級到Patch Level 2，或3月20日釋出的最新Patch Level 3來解決。為什麼有這麼簡單的解決方案，只需點選幾下滑鼠，任何組織仍然容易受到攻擊?

在許多情況下，過失可能是答案。Condon告訴記者:“人們不一定有一致的常規補丁週期。“我們看到，在數月甚至數年之後，易受攻擊的軟體和裝置仍然暴露在網際網路面前。”事實上，她指出，截至上個月，網上曝光的Aspera Faspex案例有近140起。

萬無一失的解決辦法是要麼打補丁，要麼徹底放棄軟體。

來源：