FireEye揭露Accellion事故调查结果，攻击者极为熟悉目标软件的运作机制，并串连漏洞进行RCE攻击

骇客自2020年底开始锁定Accellion档案传输解决方案File Transfer Appliance（FTA）下手，利用未知漏洞窃取企业与-机关的资料。此起事故爆发之后，近3个月至少有超过10个机构证实，骇客攻击他们的Accellion FTA系统，而导致资料外泄。

针对本次事故，Accellion也在2月初委托FireEye旗下的威胁情报公司Mandiant进行调查，FireEye先是在2月22日揭露攻击者的身份，并预告将于近日对于事故的进展，提出较完整的攻击事故调查报告。到了3月初，Accellion公布了Mandiant提供的调查结果，显示攻击者分别在2020年12月与2021年1月，使用了不同的漏洞，他们先在12月滥用了CVE-2021-27101、CVE-2021-27104，到了1月则是使用CVE-2021-27102、CVE-2021-27103，来对于Accellion用户发动攻击。而Mandiant在介入调查后，又找到2个新的FTA漏洞CVE-2021-27730与CVE-2021-27731。

针对这起攻击事件，Accellion强调，骇客仅有滥用CVE-2021-27101、CVE-2021-27102、CVE-2021-27103、CVE-2021-27104等4个漏洞。这些漏洞与后来Mandiant找到的已知漏洞，他们也都修补完成，并经过Mandiant验证。再者，Accellion表示他们现行的解决方案Kiteworks Content Firewall，不受这次FTA的漏洞影响，该公司强调两者采用完全不同的程式码基础，而且前者具较先进的安全架构。

而对于整起攻击事件的发生过程，Mandiant列出了详细的时间点。首先，该公司看到攻击行动最早约从2020年12月16日开始，Accellion在同日接获用户的通报后着手调查，发掘2个遭到滥用的FTA系统漏洞， 它们是SQL注入漏洞CVE-2021-27101，以及可被攻击者用来下达操作系统命令的CVE-2021-27104。这2个漏洞影响9.12.370版FTA，第3版CVSS风险等级都达到9.8分。Accellion于12月20日推出修补上述漏洞的9.12.380版，该公司随后又在23日发布9.12.411版，增加FTA侦测恶意行为的频率，从每日一次变更为每小时一次。

事隔一个月，Accellion再度于2021年1月22日收到多个用户的通知，得知新一波的攻击行动出现，而且滥用了不同的未知漏洞。该公司亦于同一天，向企业与机构发出重大资安警示，呼吁要立即关闭FTA系统。经过3天调查，该公司找到2个被滥用的漏洞，分别是服务器请求伪造（SSRF）漏洞CVE-2021-27103，还有可被攻击者用来下达操作系统命令的CVE-2021-27102，它们的CVSS风险评分各是9.8分与7.8分。Accellion于1月25日推出9.12.416版修补这次找到的漏洞。

针对这2个月的攻击手法，Mandiant指出，骇客都是滥用名为Dewmode的网页壳层（Web Shell）来发动攻击，但不同的是，攻击者在1月的时候为了规避FTA的侦测机制，特别更换植入Dewmode的位置。而研究人员发现，1月的攻击行动疑似骇客已经活动了2天之后，才有受害的机构察觉异状。

Mandiant认为，这2波攻击行动展现了骇客采用的手法相当复杂，很有可能借由逆向工程解析Accellion FTA系统，而极为了解这套软件内部的设计。研究人员指出，攻击者不只知道要如何规避FTA内建的异常侦测机制，还了解呼叫内部的API来解密档案名称的方法，以及熟悉该系统内部的数据库架构等，而能够串连漏洞来发动不需身份验证的RCE攻击。

经过本次事故，也促使Accellion对于FTA的维护规划做出重大决定──他们决定提前于2021年4月30日终止FTA的产品生命周期（EOL），并敦促所有FTA用户尽速改用Kiteworks Content Firewall。而这已经不是该公司首度对用户喊话，希望用户停止使用FTA──在Accellion针对这起事故的声明当中，已多次提及FTA是超过20年的老牌产品，且产品生命周期将至，并建议用户要移转到现行的Kiteworks Content Firewall。