# CVE-2021-27101 - SQL Injection com RCE no Accellion FTA > [!critical] CVSS 9.8 - CISA KEV - SQL Injection sem Autenticação > Injeção SQL não autenticada no Accellion FTA permite execução remota de código. Explorada em escala pelo grupo Cl0p em comprometimento massivo global de 2020-2021. > [!warning] EOL - Produto Descontinuado > Accellion FTA atingiu End-of-Life em 30 de abril de 2021. Não há mais suporte ou patches de segurança - migrar para alternativa imediatamente. ## Visão Geral O **CVE-2021-27101** é uma vulnerabilidade crítica de **SQL Injection** no appliance legado [[accellion-fta|Accellion FTA]] (File Transfer Appliance), solução corporativa de transferência segura de arquivos amplamente utilizada por bancos, escritórios de advocacia, agências governamentais e universidades. A falha reside no parâmetro `document_root__` do endpoint `sftp_account_edit.php`, onde a ausência de sanitização adequada permite injeção SQL que culmina em execução de comandos arbitrários no sistema operacional subjacente. O grupo [[cl0p|Cl0p]] (rastreado pela Mandiant como [[g0085-fin11|FIN11]]) explorou esta CVE - junto com [[cve-2021-27102|CVE-2021-27102]], [[cve-2021-27103|CVE-2021-27103]] e [[cve-2021-27104|CVE-2021-27104]] - em uma campanha de comprometimento em massa entre dezembro de 2020 e março de 2021. As vítimas incluíram o Reserve Bank of New Zealand, University of Colorado, Morgan Stanley, Shell e dezenas de agências governamentais ao redor do mundo. O grupo exfiltrou dados confidenciais e os públicou no site de vazamentos do Cl0p como pressão de extorsão, sem necessáriamente implantar ransomware - uma estratégia então inovadora de dupla extorsão centrada em dados. A inclusão desta CVE no catálogo CISA Known Exploited Vulnerabilities (KEV) em novembro de 2021 confirma a exploração ativa documentada. O Accellion FTA, embora hoje em EOL, representou à época um vetor de ataque privilegiado por ser um appliance confiável amplamente exposto à internet nas DMZs corporativas, frequentemente com poucos controles de segurança adicionais por ser considerado um sistema de transferência "segura". ## Produtos Afetados | Produto | Versão Afetada | Versão Corrigida | Status | |---------|---------------|-----------------|--------| | Accellion FTA | < 9.12.432 | 9.12.432+ | EOL desde 30/04/2021 | | Accellion FTA | Versões históricas ≤ 9.12.370 | — | EOL - não corrigir, migrar | ## Detalhes Técnicos A vulnerabilidade explora o endpoint de edição de contas SFTP do FTA: 1. **Endpoint vulnerável:** `sftp_account_edit.php` - gestão de contas de transferência SFTP 2. **Parâmetro afetado:** `document_root__` - caminho de diretório sem sanitização SQL 3. **Injeção SQL:** Consulta SQL construída diretamente com input não sanitizado 4. **Escalada para RCE:** A injeção SQL é encadeada para execução de comandos OS (stacked queries ou via file write) 5. **Sem autenticação:** A exploração não requer sessão autenticada válida 6. **Webshell DEWMODE:** O grupo Cl0p instalou webshell para acesso persistente pós-exploração ## Exploração **Campanha Cl0p/FIN11 (2020-2021):** - O grupo explorou a cadeia completa das 4 CVEs do Accellion FTA em conjunto - [[cve-2021-27101|CVE-2021-27101]] (SQLi → RCE) + [[cve-2021-27104|CVE-2021-27104]] (OS Command Injection) como vetores principais - [[cve-2021-27103|CVE-2021-27103]] (SSRF) para reconhecimento de redes internas - Instalação de webshell **DEWMODE** (`.php`) para exfiltração persistente - Exfiltração de arquivos transferidos pelo appliance - dados altamente sensíveis por natureza **TTPs utilizadas:** - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - exploração do appliance FTA exposto - [[t1505-003-web-shell|T1505.003 - Web Shell]] - webshell DEWMODE para persistência - [[t1567-002-exfiltration-cloud-storage|T1567.002]] - exfiltração e extorsão de dados - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - exfiltração dos arquivos ## Mitigação **Produto EOL - migração obrigatória:** - Accellion FTA atingiu EOL em 30/04/2021 - não receberá mais patches de segurança - Migrar imediatamente para solução alternativa de transferência segura de arquivos - Opções recomendadas: Kiteworks (substituto Accellion), MOVEit Transfer, GoAnywhere MFT **Se ainda em uso (emergência):** - Isolar completamente o appliance da internet - Verificar por webshells DEWMODE e outros artefatos maliciosos - Auditar todos os arquivos transferidos no período de exposição - Alertar autoridades regulatórias se dados sensíveis foram expostos (obrigatório em muitas jurisdições) > [!latam] Relevância para Brasil e América Latina > Embora a campanha principal tenha afetado predominantemente organizações norte-americanas e europeias, bancos e escritórios de advocacia latino-americanos que utilizavam Accellion FTA devem auditar seus logs retroativamente. O modelo de extorsão de dados sem ransomware adotado pelo Cl0p nesta campanha foi precursor de técnicas posteriormente amplamente adotadas por grupos como **ALPHV/BlackCat** e **LockBit** - tornando este caso uma referência importante para análise de ameaças na região. ## Notas Relacionadas **CVEs da mesma campanha:** [[cve-2021-27102|CVE-2021-27102]] · [[cve-2021-27103|CVE-2021-27103]] · [[cve-2021-27104|CVE-2021-27104]] **Atores explorando:** [[cl0p|Cl0p]] · [[g0085-fin11|FIN11]] **Campanhas:** [[accellion-fta-exploitation]] **TTPs:** [[t1190-exploit-public-facing-application|T1190]] · [[t1505-003-web-shell|T1505.003]] **Setores em risco:** [[financial]] · [[government]] · [[healthcare]] · [[technology]] ## Referências - [NVD - CVE-2021-27101](https://nvd.nist.gov/vuln/detail/CVE-2021-27101) - [FireEye/Mandiant - UNC2546 Investigation](https://www.mandiant.com/resources/accellion-fta-exploited-for-data-theft-and-extortion) - [CISA Advisory AA21-055A](https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-055a) - [Tenable - Accellion FTA Vulnerabilities](https://www.tenable.com/blog/accellion-patches-file-transfer-appliance-vulnerabilities-CVE-2021-27101-CVE-2021-27102-CVE-2021-27103-CVE-2021-27104) - [CISA KEV Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog)