Modern technology gives us many things.

Η CISA δίνει εντολή στις κυβερνητικές υπηρεσίες να επιδιορθώσουν το σφάλμα MOVEit που χρησιμοποιείται για κλοπή δεδομένων

Η CISA πρόσθεσε ένα ενεργά εκμεταλλευόμενο σφάλμα ασφαλείας στη λύση διαχειριζόμενης μεταφοράς αρχείων Progress MOVEit Transfer (MFT) στη λίστα με τις γνωστές εκμεταλλευόμενες ευπάθειες, ζητώντας από τις ομοσπονδιακές υπηρεσίες των ΗΠΑ να διορθώσουν τα συστήματά τους έως τις 23 Ιουνίου.

Το κρίσιμο ελάττωμα (παρακολουθείται ως CVE-2023-34362) είναι μια ευπάθεια SQL injection που επιτρέπει σε μη επαληθευμένους, απομακρυσμένους εισβολείς να αποκτήσουν πρόσβαση στη βάση δεδομένων του MOVEit Transfer και να εκτελέσουν αυθαίρετο κώδικα.

Σύμφωνα με τη δεσμευτική επιχειρησιακή οδηγία του Νοεμβρίου 2022 (BOD 22-01), οι Federal Civilian Executive Branch Agencies (FCEB) πρέπει να επιδιορθώσουν αυτήν την ευπάθεια ασφαλείας μία φορά προστέθηκε στον κατάλογο γνωστών εκμεταλλευόμενων ευπαθειών της CISA.

Ενώ το BOD 22-01 εστιάζει κυρίως σε ομοσπονδιακούς οργανισμούς, συνιστάται ιδιαίτερα οι ιδιωτικές εταιρείες να δώσουν προτεραιότητα στην ασφάλεια των συστημάτων τους έναντι αυτού του ελαττώματος του MOVEit Transfer που χρησιμοποιείται ενεργά.

Πρόοδος συμβουλεύει όλοι οι πελάτες να επιδιορθώσουν τα στιγμιότυπα μεταφοράς MOVEit για να αποκλείσουν προσπάθειες εκμετάλλευσης και πιθανές παραβιάσεις.

Όσοι δεν μπορούν να εφαρμόσουν αμέσως ενημερώσεις ασφαλείας μπορούν επίσης να απενεργοποιήσουν όλη την κίνηση HTTP και HTTPS στα περιβάλλοντα μεταφοράς MOVEit για να απομακρυνθούν η επιφάνεια επίθεσης.

Μπορείτε να βρείτε τη λίστα με τις επηρεαζόμενες εκδόσεις MOVEit Transfer και τις σταθερές εκδόσεις στον πίνακα που ενσωματώνεται παρακάτω.

Επί του παρόντος, υπάρχουν περισσότερα από 2.500 διακομιστές μεταφοράς MOVEit στο Διαδίκτυο, τα περισσότερα από τα οποία βρίσκονται στις Ηνωμένες Πολιτείες.

Οι φορείς απειλών εκμεταλλεύονται το CVE-2023-34362 ως ευπάθεια μηδενικής ημέρας τουλάχιστον από τις 27 Μαΐου, σύμφωνα με τον CTO της Mandiant, Charles Carmakal, τέσσερις ημέρες πριν η Progress το αποκαλύψει δημόσια και αρχίσει να δοκιμάζει ενημερώσεις κώδικα ασφαλείας για ευάλωτα συστήματα.

“Μαζική εκμετάλλευση και ευρεία κλοπή δεδομένων σημειώθηκε τις τελευταίες ημέρες”, δήλωσε ο Carmakal στο BleepingComputer.

«Παρόλο που η Mandiant δεν γνωρίζει ακόμη τα κίνητρα του παράγοντα απειλής, οι οργανισμοί θα πρέπει να προετοιμαστούν για πιθανή εκβίαση και δημοσίευση των κλεμμένων δεδομένων».

Εκμεταλλεύεται για την απόρριψη κελύφους ιστού και την κλοπή δεδομένων

Το BleepingComputer έχει ενημερωθεί ότι πολλοί οργανισμοί έχουν ήδη παραβιαστεί και τα δεδομένα τους έχουν κλαπεί με τη βοήθεια ενός κελύφους που ανακαλύφθηκε πρόσφατα (ονομάστηκε LemurLoot από Mandiant).

Το LemurLoot βοηθά τους εισβολείς να συλλέξουν πληροφορίες λογαριασμού Azure Blob Storage, συμπεριλαμβανομένων των διαπιστευτηρίων που μπορούν να χρησιμοποιηθούν για την εξαγωγή δεδομένων από τα κοντέινερ του Azure Blob Storage των θυμάτων.

Η Mandiant βρήκε επίσης πιθανούς δεσμούς μεταξύ επιθέσεων που στοχεύουν διακομιστές MOVEit Transfer και της ομάδας απειλών με οικονομικά κίνητρα FIN11, που είναι γνωστή για απόπειρες εκβίασης δεδομένων κλοπής δεδομένων μέσω του ιστότοπου διαρροής της συμμορίας ransomware Clop μετά την εκμετάλλευση του zero-days σε άλλα συστήματα μεταφοράς αρχείων.

Μέχρι στιγμής, η ταυτότητα των δραστών παραμένει άγνωστη, καθώς δεν έχουν ξεκινήσει ακόμη να εκβιάζουν τα θύματά τους.

Ωστόσο, η μέθοδος εκμετάλλευσης έχει αξιοσημείωτη ομοιότητα με προηγούμενες περιπτώσεις, συμπεριλαμβανομένης της μηδενικής εκμετάλλευσης διακομιστών Accellion FTA τον Δεκέμβριο του 2020 και της μαζικής εκμετάλλευσης ενός GoAnywhere MFT zero-day τον Ιανουάριο του 2023.

Τόσο το GoAnywhere MFT όσο και το Accellion FTA είναι διαχειριζόμενες πλατφόρμες μεταφοράς αρχείων που στοχοποιήθηκαν από τη διαβόητη συμμορία ransomware Clop για να κλέψουν δεδομένα και να εκβιάσουν θύματα.



bleepingcomputer.com

Follow TechWar.gr on Google News

Απάντηση