> [!danger] CVSS 9.8 - Crítico > Injeção de comando OS via requisição POST malformada a endpoints administrativos do Accellion FTA - sem necessidade de autenticação. > [!warning] CISA KEV - Exploração Ativa Confirmada > Adicionada ao catálogo CISA KEV em 2021-11-03. Exploração associada ao grupo CL0P em campanha de extorsão de dados de dezenas de organizações. > [!danger] EOL - Produto Descontinuado > Accellion FTA atingiu End-of-Life em 30 de abril de 2021. Migrar para solução alternativa imediatamente. # CVE-2021-27104 - Accellion FTA OS Command Injection (Unauthenticated RCE) > CVSS: 9.8 · EPSS: 5% · Vendor: Accellion · Patch: Sim · CISA KEV: Sim · EOL: Sim ## Resumo **CVE-2021-27104** é uma vulnerabilidade crítica de **injeção de comando OS** (CWE-78) no **Accellion File Transfer Appliance (FTA)**, solução de transferência segura de arquivos corporativos. A falha permite que atacantes remotos não autenticados executem comandos arbitrários no sistema operacional do appliance via requisição POST malformada enviada a endpoints administrativos. A vulnerabilidade foi explorada ativamente pelo grupo **[[cl0p]]** (TA505/FIN11) em colaboração com o grupo de ameaças financeiras **[[cl0p|fin11]]** em uma campanha de comprometimento em escala sem precedentes - afetando dezenas de grandes organizações globais incluindo bancos, escritórios de advocacia, universidades, agências governamentais e órgãos reguladores. Os atacantes exfiltraram dados sensíveis e exigiram resgate sob ameaça de públicação no site de vazamentos CL0P. **Pontuação de risco:** - CVSS v3.1: **9.8** (Crítico) - CISA KEV: adicionado em 2021-11-03 - Exploração massiva confirmada: dezembro 2020 – abril 2021 ## Detalhes Técnicos A vulnerabilidade permite execução de comandos OS sem autenticação: 1. **Endpoint vulnerável:** Endpoints administrativos do FTA acessíveis via HTTP/HTTPS 2. **Injeção de comando:** Parâmetros POST não sanitizados são passados diretamente ao sistema operacional 3. **Sem autenticação:** A exploração não requer credenciais válidas 4. **Acesso root:** Execução de comandos com privilégios do processo FTA (geralmente elevados) 5. **Webshell implantado:** Grupo CL0P instalou webshell DEWMODE para acesso persistente e exfiltração de dados **Produtos afetados:** - Accellion FTA versões ≤ 9_12_370 - Versão corrigida: FTA_9_12_380 ou posterior ## Exploração **Status atual:** Exploração histórica confirmada - produto EOL desde abril de 2021. **Grupos de ameaça utilizando:** - [[cl0p]] - ransomware/extorsão de dados; utilizou FTA como vetor primário em campanha global de 2020-2021; sites de vazamentos com dados de mais de 100 organizações - [[cl0p|fin11]] - grupo de ameaça financeiro que colaborou com CL0P no desenvolvimento e deployment do exploit **Campanha associada:** - [[accellion-fta-exploitation]] - campanha que comprometeu organizações incluindo bancos australianos, escritórios de advocacia (Jones Day), universidades, Singtel, Reserve Bank of New Zealand, e dezenas de outros **TTPs relacionadas:** - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - exploração do appliance FTA exposto - [[t1505-003-web-shell|T1505.003 - Web Shell]] - webshell DEWMODE para persistência - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - exfiltração de dados transferidos pelo FTA ## Mitigação **Produto EOL:** - Accellion FTA atingiu EOL em 30/04/2021 - não receberá mais patches de segurança - **Migrar imediatamente** para solução alternativa de transferência segura de arquivos - Opções: Accellion Kiteworks, MOVEit Transfer, outros serviços de transferência segura **Se ainda em uso:** - Aplicar patch FTA_9_12_380 como medida temporária de emergência - Isolar o appliance completamente da internet - Verificar por webshells DEWMODE e outros indicadores de comprometimento - Auditar todos os arquivos transferidos pelo sistema no período de exposição ## Notas Relacionadas **CVEs relacionados:** [[cve-2021-27103|CVE-2021-27103]] · [[cve-2023-34362|CVE-2023-34362]] · [[cve-2023-0669|CVE-2023-0669]] **Atores explorando:** [[cl0p]] · [[cl0p|fin11]] **Campanhas:** [[accellion-fta-exploitation]] **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1505-003-web-shell|T1505.003 - Web Shell]] **Setores em risco:** [[financial]] · [[government]] · [[healthcare|saúde]] · [[juridico]] > [!latam] Relevância para Brasil e América Latina > Embora a campanha principal do grupo Cl0p tenha focado em organizações norte-americanas e europeias, o modelo de extorsão de dados sem ransomware inaugurado nesta campanha foi amplamente replicado por grupos que operam na LATAM. Organizações brasileiras nos setores financeiro, jurídico e de saúde que utilizavam Accellion FTA devem auditar logs retroativos. Grupos como **RansomHub** e **LockBit** adotaram a mesma abordagem de exfiltração de dados como pressão primária - tornando esta campanha historicamente relevante para compreender a evolução do ransomware na América Latina. ## Referências - [NVD - CVE-2021-27104](https://nvd.nist.gov/vuln/detail/CVE-2021-27104) - [Tenable - Accellion FTA Vulnerabilities](https://www.tenable.com/blog/accellion-patches-file-transfer-appliance-vulnerabilities-CVE-2021-27101-CVE-2021-27102-CVE-2021-27103-CVE-2021-27104) - [CISA KEV Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Accellion CVE GitHub](https://github.com/accellion/CVEs/blob/main/CVE-2021-27104.txt)