MOVEit hacket: Hackere udnyttede nul-dages sårbarhed i populært filoverførselsværktøj til at stjæle data fra organisationer, siger forskere

MOVEit hacket: Hackere udnyttede nul-dages sårbarhed i populært filoverførselsværktøj til at stjæle data fra organisationer, siger forskere

Tidsstempel: 2. juni 2023 kl. 7
Kildeknude: 2698057

Progress Softwares MOVEit er blevet offer for en nyligt opdaget nul-dages sårbarhed, efter at hackere udnyttede fejlen i det populære filoverførselsværktøj til at stjæle kritiske data fra forskellige organisationer, sagde amerikanske sikkerhedsforskere torsdag.

Nyheden kom blot en dag efter, at Progress the Burlington, Massachusetts-baserede Progress Software afslørede, at en sikkerhedsfejl var blevet opdaget. MOVEit gør det muligt for organisationer at overføre filer og data mellem forretningspartnere og kunder.

Omfanget af indvirkningen på organisationer eller det nøjagtige antal af dem, der er berørt af potentielle brud forårsaget af softwaren, var ikke umiddelbart kendt. Ian Pitt, Chief Information Officer, afviste at afsløre specifikke detaljer om de involverede organisationer.

Pitt bekræfter dog, at Progress Software hurtigt havde stillet rettelser til rådighed, da de blev opmærksomme på sårbarheden, som blev opdaget om aftenen den 28. maj. fortalt Reuters i en erklæring om, at den cloud-baserede tjeneste forbundet med softwaren også havde oplevet nogle negative effekter som følge af denne situation. "På nuværende tidspunkt ser vi ingen udnyttelse af cloud-platformen," sagde han.

Den 31. maj udsendte Progress Software en advarsel vedrørende en kritisk sårbarhed i deres MOVEit Transfer managed file transfer (MFT) software. Den pågældende fejl er en SQL-injektionssårbarhed, som udgør en betydelig trussel, da den kan udnyttes af en uautoriseret angriber. Udnyttelse af denne sårbarhed giver uautoriseret adgang til MOVEit Transfer-databaser.

"Afhængig af den anvendte databasemotor (MySQL, Microsoft SQL Server eller Azure SQL), kan en angriber muligvis udlede oplysninger om strukturen og indholdet af databasen ud over at udføre SQL-sætninger, der ændrer eller sletter databaseelementer." sagde virksomheden.

Den pågældende sårbarhed er i øjeblikket ved at blive tildelt en CVE identifikator. Den rådgivning, der er udgivet af Progress Software, kan være noget forvirrende, da den nævner, at virksomheden aktivt arbejder på at udvikle patches, mens de samtidig oplister opdaterede versioner, der menes at løse sikkerhedsfejlen.

Patcherne forventes at blive inkorporeret i version 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5) og 2023.0.1 ( 15.0.1). Det er værd at bemærke, at den cloud-baserede version af softwaren også ser ud til at være blevet påvirket.

Selvom vejledningen ikke udtrykkeligt angiver, om sårbarheden er blevet udnyttet i situationer i den virkelige verden, understreger den den kritiske vigtighed af omgående at anvende patches for at beskytte mod potentielle angreb. Derudover giver det kunderne indikatorer for kompromis (IoC'er) forbundet med de observerede angreb.

Adskillige cybersikkerhedsfirmaer, herunder Huntress, Rapid7, TrustedSec, GreyNoise og Volexity, har også rapporteret tilfælde af angreb, der involverer MOVEit zero-day-sårbarheden.

Rapid7 Inc og Mandiant Consulting, ejet af Alphabets Google, sagde også, at de havde fundet en række sager, hvor fejlen var blevet udnyttet til at stjæle data.

"Masseudnyttelse og omfattende datatyveri har fundet sted i løbet af de sidste par dage," sagde Charles Carmakal, teknologichef i Mandiant Consulting, i en erklæring. Sådanne "zero-day" eller hidtil ukendte sårbarheder i administrerede filoverførselsløsninger har tidligere ført til datatyveri, lækager, afpresning og ofre-shaming, sagde Mandiant.

"Selvom Mandiant endnu ikke kender motivationen af ​​trusselsaktøren, bør organisationer forberede sig på potentiel afpresning og offentliggørelse af de stjålne data," sagde Carmakal.

Tidsstempel:

Mere fra TechStartups