Передача файлов MOVEit: нулевая

Главная » Сеть блоггеров по безопасности » Передача файлов MOVEit нулевого дня поставила под угрозу несколько организаций

Атака с использованием CVE-2023-34362, уязвимости нулевого дня в программе передачи файлов MOVEit, была раскрыта в начале июня, при этом дополнительные жертвы все еще обнаруживаются. Эта уязвимость представляет собой SQL-инъекцию, которая может позволить злоумышленнику, не прошедшему проверку подлинности, получить доступ к базе данных MOVEit Transfer.

Атака была осуществлена ​​как минимум одной угрозой, которая получила несанкционированный доступ к программному обеспечению и украла конфиденциальные данные у пострадавших организаций. Microsoft приписывает атаку группе Lace Tempest, стоящей за операцией по вымогательству Clop. На данный момент в список известных жертв входят BBC, British Airways, Boots, Рочестерский университет и правительство провинции Новая Шотландия в Канаде.

На сайте Clop группа взяла на себя ответственность за эксплойт и атаку, а также заявила, что является единственной группой, осуществившей такую ​​атаку.

‍

‍

Clop предоставил жертвам атаки до 14 июня возможность связаться с ними и договориться о выплате вымогательства, после чего имя жертвы и ее данные будут опубликованы на сайте Clop.

Поскольку продолжают выявляться новые жертвы, стоит отметить, что в этом году Клоп напал на более чем 100 известных жертв, причем большинство жертв приходится на отрасли здравоохранения и компьютерных услуг (по 8%), за которыми следуют организации финансовых услуг (7%).

‍

‍Уязвимость была исправлена ​​Progress Software по состоянию на 2 июня, однако есть данные, свидетельствующие о том, что злоумышленники начали использовать уязвимость 27 мая, поэтому организации, которые были скомпрометированы до установки исправления, не имеют обратной защиты.

Если вы используете программное обеспечение для передачи файлов MoveIT, важно проверить ваши системы на наличие признаков взлома и как можно скорее установить исправление. Компания Progress Software опубликовала бюллетень по безопасности, доступный по адресу https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023. Бюллетень включает рекомендуемые действия по исправлению ситуации и возможные индикаторы компрометации.

‍

По данным Shodan, в настоящее время в Интернете имеется чуть более 2500 устройств, подверженных CVE-2023-34362. Устройства расположены в основном в США (73% затронутых устройств), за ними следует Великобритания (5%), а третьей наиболее пострадавшей страной является Германия (4,5%).

‍

Данные сканирования Greynoise показывают, что сканирование открытых серверов MOVEit стало заметным 1 июня и достигло пика 4 июня, а затем значительно снизилось 5 и 6 июня, а это означает, что злоумышленники считают этот эксплойт менее выгодным.

*** Это синдицированный блог Сети блоггеров по безопасности от Cyber ​​Risk Quantification, автором которого является Cyber ​​Risk Quantification. Прочтите исходный пост по адресу: https://www.kovrr.com/blog-post/moveit-file-transfer-zero-day-compromises-multiple-organizations.