> [!danger] CVSS 9.8 - Crítico > SSRF via requisição POST ao endpoint wmProgressstat do Accellion FTA permite que atacante não autenticado realize requisições do lado do servidor para recursos arbitrários. > [!warning] CISA KEV - Exploração Ativa Confirmada > Adicionada ao catálogo CISA KEV em 2021-11-03. Exploração em conjunto com [[cve-2021-27104|CVE-2021-27104]] pelo grupo CL0P. > [!danger] EOL - Produto Descontinuado > Accellion FTA atingiu End-of-Life em 30 de abril de 2021. Migrar imediatamente. # CVE-2021-27103 - Accellion FTA Server-Side Request Forgery (SSRF) > CVSS: 9.8 · Vendor: Accellion · Patch: Sim · CISA KEV: Sim · EOL: Sim ## Resumo **CVE-2021-27103** é uma vulnerabilidade de **Server-Side Request Forgery (SSRF)** no **Accellion File Transfer Appliance (FTA)**. A falha permite que atacantes remotos não autenticados enviem requisições POST especialmente elaboradas ao endpoint `wmProgressstat`, induzindo o servidor a realizar requisições HTTP para recursos arbitrários - tanto internos quanto externos. A vulnerabilidade foi explorada em conjunto com [[cve-2021-27104|CVE-2021-27104]] (injeção de comando OS) pelo grupo **[[cl0p]]** e **[[cl0p|fin11]]** na campanha de comprometimento massivo do Accellion FTA em 2020-2021. O SSRF pode ser usado para reconhecimento de rede interna, exfiltração de dados via canais alternativos, ou como parte de uma cadeia de exploração para bypass de controles de segurança de rede. **Pontuação de risco:** - CVSS v3.1: **9.8** (Crítico) - CISA KEV: adicionado em 2021-11-03 - Advisory FatPipe: FPSA006 ## Detalhes Técnicos O SSRF reside no endpoint de progresso do FTA: 1. **Endpoint vulnerável:** `/wmProgressstat` - destinado a reportar progresso de transferências 2. **SSRF não autenticado:** Parâmetros de URL no corpo POST não são sanitizados 3. **Requisições arbitrárias:** O servidor FTA faz requisições HTTP para URLs controladas pelo atacante 4. **Uso em cadeia:** O SSRF pode ser usado para acessar serviços internos não expostos diretamente à internet 5. **Exfiltração:** Dados obtidos via SSRF podem ser exfiltrados através do canal de resposta HTTP **Comparação com CVE-2021-27104:** - CVE-2021-27103 (SSRF): reconhecimento e acesso a recursos internos - [[cve-2021-27104|CVE-2021-27104]] (OS Command Injection): execução direta de comandos - ambas exploradas em conjunto ## Exploração **Status atual:** Exploração histórica confirmada como parte da campanha Accellion FTA. **Grupos de ameaça utilizando:** - [[cl0p]] - ransomware/extorsão de dados; utilizou tanto CVE-2021-27103 quanto CVE-2021-27104 para comprometer o FTA e exfiltrar arquivos de dezenas de organizações globais - [[cl0p|fin11]] - colaborou no desenvolvimento e deployment dos exploits **Campanha associada:** - [[accellion-fta-exploitation]] - comprometimento de dezenas de organizações com exfiltração de dados e extorsão **TTPs relacionadas:** - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - exploração do appliance FTA exposto - [[t1599-network-boundary-bridging|T1599 - Network Boundary Bridging]] - SSRF para alcançar recursos internos - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - exfiltração de arquivos transferidos pelo FTA ## Mitigação **Produto EOL:** - Accellion FTA atingiu EOL em 30/04/2021 - migrar para alternativa imediatamente - Aplicar patch FTA_9_12_380 como emergência se ainda em uso **Medidas gerais:** - Isolar appliances FTA com firewalls de saída para bloquear requisições SSRF não autorizadas - Verificar logs de acesso ao endpoint `/wmProgressstat` - Auditar todos os arquivos transferidos pelo sistema no período de exposição ## Notas Relacionadas **CVEs relacionados:** [[cve-2021-27104|CVE-2021-27104]] · [[cve-2021-27101|CVE-2021-27101]] · [[cve-2023-34362|CVE-2023-34362]] **Atores explorando:** [[cl0p]] · [[cl0p|fin11]] **Campanhas:** [[accellion-fta-exploitation]] **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1599-network-boundary-bridging|T1599 - Network Boundary Bridging]] **Setores em risco:** [[financial]] · [[government]] · [[healthcare|saúde]] · [[juridico]] > [!latam] Relevância para Brasil e América Latina > A técnica de SSRF encadeada com injeção de comando OS explorada pelo Cl0p nesta campanha tornou-se um padrão de ataque replicado em outras plataformas de transferência de arquivos, incluindo ataques subsequentes ao MOVEit Transfer em 2023 (CVE-2023-34362). Organizações brasileiras nos setores financeiro e jurídico devem revisar inventários de appliances legados similares. O modelo de extorsão de dados sem criptografia adotado nesta campanha influenciou diretamente grupos de ransomware que atuam no Brasil, como **RansomHub** e variantes do **LockBit**. ## Referências - [NVD - CVE-2021-27103](https://nvd.nist.gov/vuln/detail/CVE-2021-27103) - [Tenable - Accellion FTA Vulnerabilities](https://www.tenable.com/blog/accellion-patches-file-transfer-appliance-vulnerabilities-CVE-2021-27101-CVE-2021-27102-CVE-2021-27103-CVE-2021-27104) - [CISA KEV Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Guidepoint Security - Accellion FTA Webshell Analysis](https://www.guidepointsecurity.com/)