Ngày 10 tháng 6 năm 2023Ravie LakshmananLỗ hổng bảo mật / Đe dọa mạng
Progress Software, công ty đứng sau ứng dụng MOVEit Transfer, đã phát hành các bản vá để giải quyết các lỗ hổng SQL injection hoàn toàn mới ảnh hưởng đến giải pháp truyền tệp có thể cho phép đánh cắp thông tin nhạy cảm.
“Nhiều lỗ hổng SQL injection đã được xác định trong ứng dụng web MOVEit Transfer có thể cho phép kẻ tấn công không được xác thực có quyền truy cập trái phép vào cơ sở dữ liệu MOVEit Transfer”, công ty cho biết trong một lời khuyên được đưa ra vào ngày 9 tháng 6 năm 2023.
“Kẻ tấn công có thể gửi tải trọng được tạo thủ công tới điểm cuối của ứng dụng MOVEit Transfer, điều này có thể dẫn đến việc sửa đổi và tiết lộ nội dung cơ sở dữ liệu MOVEit.”
Các lỗ hổng ảnh hưởng đến tất cả các phiên bản của dịch vụ đã được xử lý trong các phiên bản MOVEit Transfer 2021.0.7 (13.0.7), 2021.1.5 (13.1.5), 2022.0.5 (14.0.5), 2022.1.6 (14.1 .6) và 2023.0.2 (15.0.2). Tất cả các phiên bản MOVEit Cloud đã được vá đầy đủ.
Công ty an ninh mạng Huntress đã được ghi nhận là người đã phát hiện và báo cáo các lỗ hổng như một phần của quá trình đánh giá mã. Progress Software cho biết họ chưa quan sát thấy dấu hiệu nào cho thấy các lỗ hổng mới được phát hiện đang bị khai thác ngoài thực tế.
Sự phát triển này diễn ra khi lỗ hổng MOVEit Transfer được báo cáo trước đó (CVE-2023-34362) đã bị khai thác nặng nề để thả web shell trên các hệ thống được nhắm mục tiêu.
Hoạt động này được cho là do băng nhóm ransomware Cl0p khét tiếng, nhóm này có thành tích dàn dựng các chiến dịch đánh cắp dữ liệu và khai thác lỗi zero-day trong các nền tảng truyền tệp được quản lý khác nhau kể từ tháng 12 năm 2020.
HỘI THẢO TRỰC TUYẾN SẮP TỚI
🔐 Làm chủ bảo mật API: Hiểu bề mặt tấn công thực sự của bạn
Khám phá các lỗ hổng chưa được khai thác trong hệ sinh thái API của bạn và chủ động thực hiện các bước hướng tới bảo mật bọc thép. Tham gia hội thảo trên web sâu sắc của chúng tôi!
tham gia phiên
Công ty tư vấn rủi ro và điều tra doanh nghiệp Kroll cũng tìm thấy bằng chứng cho thấy băng nhóm tội phạm mạng đã thử nghiệm các cách khai thác CVE-2023-34362 từ tháng 7 năm 2021, cũng như nghĩ ra các phương pháp trích xuất dữ liệu từ các máy chủ MOVEit bị xâm nhập ít nhất là từ tháng 4 năm 2022 .
Phần lớn hoạt động kiểm tra và thăm dò mã độc vào tháng 7 năm 2021 được cho là về bản chất là thủ công, trước khi chuyển sang cơ chế tự động vào tháng 4 năm 2022 để thăm dò nhiều tổ chức và thu thập thông tin.
Công ty cho biết: “Có vẻ như các tác nhân đe dọa Clop đã hoàn thành khai thác MOVEit Transfer tại thời điểm xảy ra sự kiện GoAnywhere và chọn thực hiện các cuộc tấn công tuần tự thay vì song song”. “Những phát hiện này nêu bật kế hoạch và sự chuẩn bị quan trọng có khả năng xảy ra trước các sự kiện khai thác hàng loạt.”
Các tác nhân của Cl0p cũng đã đưa ra thông báo tống tiền tới các công ty bị ảnh hưởng, kêu gọi họ liên hệ với nhóm trước ngày 14 tháng 6 năm 2023 hoặc công bố thông tin bị đánh cắp của họ trên trang web rò rỉ dữ liệu.
