Οι χάκερ ξεκινούν άλλο ένα κύμα μαζικών εισβολών με στόχο τα εργαλεία μεταφοράς αρχείων της εταιρείας

Οι ερευνητές ασφαλείας κρούουν τον κώδωνα του κινδύνου αφότου συνελήφθησαν χάκερ να εκμεταλλεύονται μια ευπάθεια που ανακαλύφθηκε πρόσφατα σε ένα δημοφιλές εργαλείο μεταφοράς αρχείων που χρησιμοποιείται από χιλιάδες οργανισμούς για να εξαπολύσουν ένα νέο κύμα επιθέσεων μαζικής διείσδυσης δεδομένων.

Η ευπάθεια επηρεάζει το λογισμικό διαχειριζόμενης μεταφοράς αρχείων MOVEit Transfer (MFT) που αναπτύχθηκε από την Ipswitch, θυγατρική του Progress Software με έδρα τις ΗΠΑ, το οποίο επιτρέπει στους οργανισμούς να μοιράζονται μεγάλα αρχεία και σύνολα δεδομένων μέσω του Διαδικτύου. Πρόοδος

επιβεβαιωμένος

την Τετάρτη ότι ανακάλυψε μια ευπάθεια στο MOVEit Transfer που «θα μπορούσε να οδηγήσει σε κλιμάκωση των προνομίων και πιθανή μη εξουσιοδοτημένη πρόσβαση στο περιβάλλον» και προέτρεψε τους χρήστες να απενεργοποιήσουν την επισκεψιμότητα στο Διαδίκτυο στο περιβάλλον μεταφοράς MOVEit.

Οι ενημερώσεις κώδικα είναι διαθέσιμες και η Progress προτρέπει όλους τους πελάτες να το κάνουν

εφαρμόστε το επειγόντως

.

Η αμερικανική υπηρεσία κυβερνοασφάλειας CISA είναι επίσης

προτρέποντας

Οι οργανισμοί των ΗΠΑ να ακολουθούν τα βήματα μετριασμού της Progress, να εφαρμόζουν τις απαραίτητες ενημερώσεις και να αναζητούν οποιαδήποτε κακόβουλη δραστηριότητα.

Τα εταιρικά εργαλεία μεταφοράς αρχείων έχουν γίνει ολοένα και πιο ελκυστικός στόχος για τους χάκερ, καθώς η εύρεση μιας ευπάθειας σε ένα δημοφιλές εταιρικό σύστημα μπορεί να επιτρέψει την κλοπή δεδομένων από πολλά θύματα.

Η Jocelyn VerVelde, εκπρόσωπος της Progress μέσω μιας εξωτερικής υπηρεσίας δημοσίων σχέσεων, αρνήθηκε να πει πόσοι οργανισμοί χρησιμοποιούν το επηρεαζόμενο εργαλείο μεταφοράς αρχείων, αν και ο ιστότοπος της εταιρείας αναφέρει ότι το λογισμικό χρησιμοποιείται από «χιλιάδες οργανισμούς σε όλο τον κόσμο».


Η Shodan, μια μηχανή αναζήτησης για συσκευές και βάσεις δεδομένων που εκτίθενται δημόσια, αποκαλύπτει περισσότερους από 2.500 διακομιστές MOVEit Transfer που μπορούν να εντοπιστούν στο διαδίκτυο, οι περισσότεροι από τους οποίους βρίσκονται στις Ηνωμένες Πολιτείες, καθώς και


Ηνωμένο Βασίλειο, Γερμανία, Ολλανδία και Καναδάς.

Η ευπάθεια επηρεάζει επίσης τους πελάτες που βασίζονται στην πλατφόρμα cloud MOVEit Transfer,


σύμφωνα με

ερευνητής ασφαλείας Kevin Beaumont

.


Τουλάχιστον ένα εκτεθειμένο παράδειγμα συνδέεται με το Υπουργείο Εσωτερικής Ασφάλειας των ΗΠΑ και πολλές «μεγάλες τράπεζες» πιστεύεται επίσης ότι επηρεάζονται και πελάτες του MOVEI, σύμφωνα με τον Beaumont.

Αρκετές εταιρείες ασφαλείας λένε ότι έχουν ήδη παρατηρήσει στοιχεία εκμετάλλευσης.

Η Mandiant είπε ότι ερευνά

«Πολλές εισβολές» που σχετίζονται με την εκμετάλλευση της ευπάθειας MOVEit. Ο επικεφαλής τεχνολογίας της Mandiant, Charles Carmakal, επιβεβαίωσε ότι η Mandiant «είχε δει στοιχεία διείσδυσης δεδομένων σε πολλά θύματα».

Η Huntress startup στον τομέα της κυβερνοασφάλειας είπε σε ένα

ανάρτηση

ότι ένας από τους πελάτες της έχει δει «μια πλήρη αλυσίδα επίθεσης και όλους τους αντίστοιχους δείκτες συμβιβασμού».

Η εταιρεία ερευνών ασφαλείας Rapid7, εν τω μεταξύ, επιβεβαίωσε ότι είχε παρατηρήσει σημάδια εκμετάλλευσης και κλοπής δεδομένων από «τουλάχιστον τέσσερα διαφορετικά περιστατικά».


Η Caitlin Condon, ανώτερος διευθυντής έρευνας ασφαλείας στο Rapid7, είπε ότι η εταιρεία έχει δει στοιχεία ότι οι επιτιθέμενοι μπορεί να έχουν αρχίσει να αυτοματοποιούν την εκμετάλλευση.

Αν και δεν είναι σαφές πότε ακριβώς ξεκίνησε η εκμετάλλευση, η startup πληροφοριών απειλών GreyNoise

είπε

έχει παρατηρήσει δραστηριότητα σάρωσης ήδη από τις 3 Μαρτίου και προτρέπει τους χρήστες να ελέγξουν τα συστήματα για τυχόν δείκτες μη εξουσιοδοτημένης πρόσβασης που μπορεί να έχουν συμβεί τις τελευταίες 90 ημέρες.

Δεν είναι γνωστό ποιος είναι ακόμη υπεύθυνος για τη μαζική εκμετάλλευση των διακομιστών MOVEit.

Ο Condon του Rapid7 είπε στο TechCrunch ότι η συμπεριφορά του εισβολέα φαίνεται να είναι «ευκαιριακή παρά στοχευμένη», προσθέτοντας ότι αυτό «θα μπορούσε να είναι το έργο ενός μεμονωμένου παράγοντα απειλής που εκτοξεύει ένα εκμεταλλεύσιμο αδιακρίτως σε εκτεθειμένους στόχους».

Είναι η πιο πρόσφατη προσπάθεια χάκερ και ομάδων εκβιαστών να στοχεύσουν εταιρικά συστήματα μεταφοράς αρχείων τα τελευταία χρόνια.

Τον Ιανουάριο, η συνδεδεμένη με τη Ρωσία συμμορία ransomware Clop ανέλαβε την ευθύνη για τη μαζική εκμετάλλευση ενός

ευπάθεια στο λογισμικό μεταφοράς αρχείων με διαχείριση GoAnywhere της Fortra. Στοχεύτηκαν περισσότεροι από 130 οργανισμοί που χρησιμοποιούν το GoAnywhere, συμπεριλαμβανομένης της εταιρείας υγειονομικής περίθαλψης με έδρα τη Φλόριντα


NationBenefits


πάροχος εικονικής θεραπείας


Brightline


και την πόλη του Τορόντο.

Ο Clop βρισκόταν επίσης πίσω από μια άλλη ευρεία επίθεση σε ένα άλλο δημοφιλές εργαλείο μεταφοράς αρχείων το 2021. Η συμμορία παραβίασε το εργαλείο κοινής χρήσης αρχείων της Accellion για να εξαπολύσει επιθέσεις εναντίον ορισμένων οργανισμών, όπως


Μόργκαν Στάνλεϋ


το Πανεπιστήμιο της Καλιφόρνια, ο γίγαντας των παντοπωλείων Kroger και η δικηγορική εταιρεία Jones Day.