cve-2021-27102 - RunkIntel

# CVE-2021-27102 - Accellion FTA OS Command Injection > [!high] CVSS: 7.8 (Alto) · Vendor: Accellion · CISA KEV: Sim (2021-11-03) · Explorado por Cl0p/TA505 · Parte da cadeia de 4 zero-days no FTA ## Visão Geral CVE-2021-27102 é uma vulnerabilidade de **injeção de comando do sistema operacional** (OS Command Injection, CWE-78) no produto **File Transfer Appliance (FTA)** da Accellion (atual Kiteworks). A falha é explorada por meio de uma chamada a um serviço web local, permitindo que um atacante execute comandos arbitrários no sistema operacional subjacente. Isoladamente, a vulnerabilidade requer acesso local com privilégios baixos - tornando-se, na prática, um componente de uma cadeia de exploração encadeada com a [[cve-2021-27103|CVE-2021-27103]] (Server-Side Request Forgery), que permite ao atacante alcançar o serviço web local de forma remota e sem autenticação. Esta CVE faz parte de um conjunto de quatro zero-days no Accellion FTA explorados pela organização criminosa [[cl0p|Cl0p]] (também rastreada como TA505, FIN11, Lace Tempest e DEV-0950 pela Microsoft) em uma campanha massiva de exfiltração de dados iniciada em dezembro de 2020. A investigação forense conduzida pela Mandiant, contratada diretamente pela Accellion, confirmou que a cadeia CVE-2021-27103 + CVE-2021-27102 foi o vetor primário na "Exploração de Janeiro" - responsável pela maior parte das vítimas da campanha. O Cl0p utilizou os dados exfiltrados para extorquir as organizações comprometidas, ameaçando públicar informações sensíveis mesmo sem implantar ransomware nos sistemas. O impacto global da campanha foi significativo: dezenas de organizações em setores financeiro, governamental, acadêmico e de infraestrutura crítica foram comprometidas em múltiplos países. O Cl0p demonstrou nesta campanha um padrão operacional que continuaria com exploração de outras plataformas MFT nos anos seguintes, incluindo GoAnywhere (CVE-2023-0669) e [[cve-2023-34362|MOVEit Transfer (CVE-2023-34362)]]. > [!latam] Impacto no Brasil e LATAM > O Accellion FTA era amplamente utilizado por instituições financeiras, governo e setor acadêmico em toda a América Latina para transferências seguras de arquivos sensíveis. Embora as vítimas confirmadas públicamente da campanha Cl0p sejam predominantemente norte-americanas e australianas, o perfil de clientes do produto inclui organizações brasileiras do setor financeiro e governamental. O padrão do Cl0p de explorar plataformas MFT foi observado em operações subsequentes que afetaram diretamente o Brasil - a exploração do MOVEit em 2023 comprometeu dados de organizações no país. Organizações que utilizavam Accellion FTA devem verificar se foram comprometidas mesmo retroativamente, pois dados podem ter sido exfiltrados silenciosamente. ## Produtos Afetados | Produto | Versões Afetadas | Versão Corrigida | Status | |---------|-----------------|-----------------|--------| | Accellion FTA | 9_12_411 e anteriores | FTA_9_12_416 | EOL em 30/04/2021 | > Atenção: O Accellion FTA atingiu fim-de-vida (EOL) em 30 de abril de 2021. Nenhuma nova atualização de segurança será lançada. A única remediação completa é a migração para uma plataforma suportada. ## Detalhes Técnicos - **Tipo:** OS Command Injection (CWE-78) - **Vetor:** Local (tipicamente encadeado com SSRF para exploração remota) - **Complexidade:** Low - **Pré-autenticação:** Não (requer acesso local com baixos privilégios, mas encadeada com SSRF) - **Versões afetadas:** Accellion FTA 9_12_411 e anteriores - **Versão corrigida:** FTA_9_12_416 e posteriores (patch liberado em 25/01/2021) - **CWE:** CWE-78 (Improper Neutralization of Special Elements used in an OS Command) ### Funcionamento Técnico O ataque em cadeia observado pelo Mandiant explorava dois estágios: primeiro, a [[cve-2021-27103|CVE-2021-27103]] (SSRF) em `wmProgressstat.html` era usada para alcançar o serviço SOAP local em `sw_update.php`; em seguida, a CVE-2021-27102 era explorada via chamada ao serviço web local para injetar e executar comandos arbitrários no sistema. Esta cadeia permitia aos atacantes implantar webshells (tipicamente `about.html` em `/home/httpd/html/` ou `/home/seos/courier/`) para manter persistência e exfiltrar dados. ## Exploração A campanha de exploração do Accellion FTA foi atribuída ao [[cl0p|Cl0p]] (também rastreado como TA505, FIN11, Lace Tempest e DEV-0950 pela Microsoft). A investigação forense da Mandiant confirmou que a cadeia CVE-2021-27103 + CVE-2021-27102 foi usada na "Exploração de Janeiro" - após um primeiro round de ataques em dezembro de 2020 utilizando CVE-2021-27101 e CVE-2021-27104. Entre as vítimas confirmadas estão: Reserve Bank of New Zealand, Australian Securities and Investments Commission (ASIC), Transport for New South Wales, fabricante aeronáutica Bombardier, Universidade do Colorado e a varejista Kroger. O [[cl0p|Cl0p]] utilizou as credenciais e dados exfiltrados para extorquir as organizações, ameaçando públicar dados sensíveis caso o resgate não fosse pago - mesmo sem implantação de ransomware. A campanha completa [[accellion-fta-exploitation|Accellion FTA Exploitation]] está documentada em detalhe no vault. ## Mitigação 1. Migrar imediatamente do Accellion FTA para uma plataforma de transferência de arquivos suportada - o produto atingiu fim-de-vida (EOL) em 30 de abril de 2021 2. Se a migração não for possível, atualizar para FTA_9_12_416 ou posterior para correção desta CVE 3. Isolar sistemas com o software da internet 4. Verificar IoCs: webshell em `/home/httpd/html/about.html` ou `/home/seos/courier/about.html` 5. Monitorar acesso ao arquivo `sftp_account_edit.php` e ao endpoint `wmProgressstat.html` ## Referências - [NVD - CVE-2021-27102](https://nvd.nist.gov/vuln/detail/CVE-2021-27102) - [Mandiant - Accellion FTA Attack Analysis](https://www.mandiant.com/resources/blog/accellion-fta-exploited) - [CISA KEV - Adição em 03/11/2021](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [CISA/FBI Joint Advisory AA21-055A](https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-055a) - [Tenable - Análise das 4 CVEs Accellion](https://www.tenable.com/blog/accellion-patches-file-transfer-appliance-vulnerabilities-CVE-2021-27101-CVE-2021-27102-CVE-2021-27103-CVE-2021-27104) ## Notas Relacionadas Esta CVE faz parte de um conjunto de quatro zero-days no Accellion FTA explorados na mesma campanha: [[cve-2021-27101|CVE-2021-27101]] (SQL injection), CVE-2021-27103 (SSRF) e CVE-2021-27104 (OS command injection). O grupo [[cl0p|Cl0p]] demonstrou um padrão consistente de exploração de plataformas MFT: após o FTA, o mesmo grupo explorou o GoAnywhere MFT (CVE-2023-0669), o [[cve-2023-34362|MOVEit Transfer (CVE-2023-34362)]] e, mais recentemente, o [[cve-2024-50623|Cleo (CVE-2024-50623)]]. O [[g0046-fin7|FIN7]] também foi associado a atividades relacionadas à exploração de infraestruturas de backup e transferência de arquivos. A campanha completa está em [[accellion-fta-exploitation|Accellion FTA Exploitation]].