Русский
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
ДомЖертвы нулевой SQL-инъекции MOVEit
Sergey Nivens - stock.adobe.com
Многие организации в настоящее время заявляют, что они пострадали от кибератак, возникших из-за недавно обнаруженной уязвимости в продукте передачи файлов MOVEit компании Progress Software, который широко используется, в том числе операторами программ-вымогателей.
За последние 24 часа все организации, включая BBC, Boots и British Airways (BA), подтвердили, что они пострадали, при этом BBC сообщила сотрудникам, что в результате инцидента были скомпрометированы идентификационные номера, даты рождения, домашние адреса и номера национального страхования. . Сотрудникам BA также сообщили, что их банковские реквизиты могли быть украдены.
В случае с BA и другими инцидент начался через системы Zellis, поставщика ИТ-услуг для отделов расчета заработной платы и управления персоналом. Представитель Zellis подтвердил, что пострадало «небольшое количество» клиентов организации.
«Все программное обеспечение, принадлежащее Zellis, не пострадало, и не было никаких связанных с этим инцидентов или компрометации какой-либо другой части нашего ИТ-ресурса», — сказал представитель.
«Как только нам стало известно об этом инциденте, мы приняли немедленные меры: отключили сервер, на котором используется программное обеспечение MOVEit, и привлекли экспертную внешнюю группу реагирования на инциденты безопасности для оказания помощи в судебно-медицинском анализе и постоянном мониторинге», — добавили они.
Зеллис сообщила, что уведомила соответствующие органы Великобритании и Ирландии, в том числе Управление комиссара по информации (ICO) и Ирландскую комиссию по защите данных (DPC).
Представитель BA заявил: «Нам сообщили, что мы являемся одной из компаний, пострадавших от инцидента с кибербезопасностью Zellis, который произошел через одного из их сторонних поставщиков под названием MOVEit. Zellis предоставляет услуги по поддержке расчета заработной платы сотням компаний в Великобритании. из которых мы одни.
«Этот инцидент произошел из-за новой и ранее неизвестной уязвимости в широко используемом инструменте передачи файлов MOVEit. Мы уведомили тех коллег, чья личная информация была скомпрометирована, чтобы предоставить поддержку и совет».
Предполагается, что материнская компания BA, IAG, работает над поддержкой тех, кто может пострадать, и также по собственному желанию сообщила об инциденте в ICO.
Представитель Национального центра кибербезопасности Великобритании (NCSC) заявил, что агентство внимательно следит за ситуацией.
«Мы работаем над тем, чтобы полностью понять влияние Великобритании после сообщений о критической уязвимости, затрагивающей программное обеспечение MOVEit Transfer», — сказали они. «NCSC настоятельно рекомендует организациям принять немедленные меры, следуя рекомендациям поставщиков и применяя рекомендуемые обновления безопасности».
Программный продукт управляемой передачи файлов (MFT) MOVEit был первоначально разработан и выпущен в начале 2000-х годов компанией Standard Networks. Впоследствии эту фирму приобрела компания Ipswitch, специализирующаяся на сетевом программном обеспечении, которую в 2019 году купила Progress.
В среду, 31 мая 2023 года, Progress объявила, что обнаружила и исправила критическую уязвимость в MOVEit, затрагивающую всех пользователей продукта передачи MOVEit.
Отслеживаемая как CVE-2023-34362, эта ошибка представляет собой уязвимость SQL-инъекции, которая может позволить неаутентифицированному субъекту получить доступ к базе данных MOVEit Transfer пользователя и – в зависимости от того, используют ли они MySQL, Microsoft SQL Server или Azure SQL в качестве ядра базы данных. – получать информацию о содержимом базы данных и выполнять операторы SQL, которые изменяют или удаляют ее элементы.
На прошлой неделе несколько фирм по обеспечению безопасности отслеживали эксплуатацию CVE-2023-34362, включая Microsoft, Mandiant и Rapid7.
Microsoft заявила, что готова приписать атаки, использующие уязвимость, злоумышленнику, которого она сейчас отслеживает как Lace Tempest, оператора программы-вымогателя, наиболее известного благодаря проведению операции Clop (также известной как Cl0p).
Cl0p — это особенно опасный штамм программы-вымогателя, и его операторы, как известно, особенно неравнодушны к проблемам, затрагивающим процессы передачи файлов. Ранее в этом году они стояли за серией атак, в которых использовалась уязвимость в инструменте Fortra GoAnywhere MFT для атак на системы более чем 90 жертв, включая фирму по хранению и безопасности Rubrik.