【立即升級】MOVEit再爆漏洞 入侵概念驗證被公開客戶勢危
MOVEit Transfer 及 Cloud Managed file transfer(MFT)零日漏洞事件繼續發酵!開發商 Progress Software 在五月尾推出安全修補後,在調查過程中又發現多一個零日漏洞,結果在 6 月 9 日再一次緊急發布第二次安全修補。
專家指第一個漏洞正被勒索軟件集團 Cl0p 瘋狂濫用,受影響的機構已超過 100 間,而且亦有入侵的概念驗證(PoC)被公開,如果有採用相關服務,就更加要立即升級。
調查期間發現另一零日漏洞
在 5 月 31 日,Progress Software 公開漏洞報告,指 MOVEit 檔案共享服務存在安全漏洞,容許黑客使用 SQL injection 技術遙距執行惡意編碼,提升帳戶特權以存取未經授權的內部檔案。該漏洞的編號為 CVE-2023-34362,而 Progress Software 亦即時推出安全更新,以及啟動調查程式,邀請第三方網絡安全公司 Huntress 合作調查。
經過約一星期調查,Huntress 研究員竟發現系統另一個零日漏洞(CVE-2023-35036),黑客可通過同一技術攻擊採用服務的客戶,因而 Progress Software 須緊急推出新的安全修補。
過百間機構受害 包括英國通訊管理局
而在這次調查期間,首先已有多間英國機構如 Zellis、英國航空、BBC 及 Boots 表示受到襲擊,勒索軟件集團 Cl0p 的黑客通過 MOVEit 取得公司重要數據,並且被警告如在 6 月 14 日仍未交贖金,相關資料就會網上公開。
之後,加拿大政府的創新科技部門及教育部都遭受襲擊,但慶幸部門已關注到相關漏洞,因此在發現攻擊時已立即採取行動,特別是後者只被盜去 24 個檔案,但亦有 95,000 名學生的個人私隱外洩。而英國通訊管理局 Ofcom 亦榜上有名,承認部分所管理公司的機密資訊及 412 位員工的個人資料外洩。事件發生至今,已有超過 100 間機構受影響
不過,Cl0p 方面已表明會無條件刪除受影響的政府機構及執法部門外洩資料,相信是希望減少被執法部門打擊的機會。
PoC 被公開 用戶應加快升級
專家指現階段只有第一項漏洞有被利用的跡象,不過在調查期間,發現黑客可能早在 2021 年已測試過相關漏洞,只是一直按兵不動,可見第二項漏洞也有可能潛藏巨大機會。
另一方面,因為 Horizon3 安全研究員已經公開使用漏洞的 PoC,展示 Cl0p 黑客整個入侵過程,研究員指黑客通過 SQL injection 取得系統管理員的 API 登入憑證,所以相信其他黑客亦要照辦煮碗,入侵其他暴露於網上而又未修補漏洞的端點。因此,Progress Software 強烈建議客戶採取行動,執行以下安全措施:
MOVEit Transfer
1.確認安裝最新的補修檔案
2.執行建議的緩解措施
3.監測已知的入侵指標(IoC)
4.只使用 MOVEit Transfer 官方提供的下載鏈接,不要使用第三方資源。
MOVEit Cloud
1.確認安裝最新的補修檔案
2.調查審計日誌,尋找任何未經授權的文件下載等異常操作
3.持續監控訪問日誌和系統日誌
相關文章:【零時差攻擊】英航BBC員工資料外洩 Sophos籲停用MOVEit Transfer