MOVEit hakkeroitu: Hakkerit käyttivät hyväkseen nollapäivän haavoittuvuutta suositussa tiedostonsiirtotyökalussa varastaakseen tietoja organisaatioilta, tutkijat sanovat

MOVEit hakkeroitu: Hakkerit käyttivät hyväkseen nollapäivän haavoittuvuutta suositussa tiedostonsiirtotyökalussa varastaakseen tietoja organisaatioilta, tutkijat sanovat

Aikaleima: 2. kesäkuuta 2023 7
Lähdesolmu: 2698057

Progress Softwaren MOVEit on joutunut äskettäin löydetyn nollapäivän haavoittuvuuden uhriksi sen jälkeen, kun hakkerit käyttivät hyväkseen suositun tiedostonsiirtotyökalun puutetta varastaakseen kriittisiä tietoja eri organisaatioilta, yhdysvaltalaiset turvallisuustutkijat sanoivat torstaina.

Uutiset tulivat vain päivä sen jälkeen, kun Progress the Burlington, Massachusettsissa toimiva Progress Software paljasti, että tietoturvavirhe oli löydetty. MOVEitin avulla organisaatiot voivat siirtää tiedostoja ja dataa liikekumppaneiden ja asiakkaiden välillä.

Ohjelmiston aiheuttamien mahdollisten tietomurtojen vaikutusta organisaatioihin tai niiden tarkkaa määrää ei heti tiedetty. Ian Pitt, Chief Information Officer, kieltäytyi paljastamasta yksityiskohtia asiaan liittyvistä organisaatioista.

Pitt kuitenkin vahvistaa, että Progress Software oli nopeasti antanut korjaukset saataville saatuaan tietoonsa haavoittuvuudesta, joka havaittiin illalla 28. toukokuuta. kertoi Reuters ilmoitti lausunnossaan, että myös ohjelmistoon liittyvä pilvipohjainen palvelu oli kokenut kielteisiä vaikutuksia tämän tilanteen seurauksena. "Tällä hetkellä emme näe pilvialustan hyväksikäyttöä", hän sanoi.

Progress Software antoi 31. toukokuuta varoituksen, joka koskee sen MOVEit Transferin hallitun tiedostonsiirtoohjelmiston (MFT) kriittistä haavoittuvuutta. Kyseessä on SQL-injektion haavoittuvuus, joka muodostaa merkittävän uhan, koska todentamaton hyökkääjä voi käyttää sitä hyväkseen. Tämän haavoittuvuuden hyödyntäminen antaa luvattoman pääsyn MOVEit Transfer -tietokantoihin.

"Käytetystä tietokantamoottorista (MySQL, Microsoft SQL Server tai Azure SQL) riippuen hyökkääjä saattaa pystyä päättelemään tietoja tietokannan rakenteesta ja sisällöstä sen lisäksi, että se suorittaa SQL-käskyjä, jotka muuttavat tai poistavat tietokannan elementtejä." yhtiö sanoi.

Kyseinen haavoittuvuus on parhaillaan määrittämässä CVE-tunnistetta. Progress Softwaren julkaisema neuvonta voi olla hieman hämmentävä, koska siinä mainitaan, että yritys työskentelee aktiivisesti korjaustiedostojen kehittämiseksi ja samalla listaa päivitettyjä versioita, joiden uskotaan korjaavan tietoturvavirheen.

Korjauspäivitykset odotetaan sisällytettävän versioihin 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5) ja 2023.0.1 ( 15.0.1). On syytä huomata, että myös ohjelmiston pilvipohjainen versio näyttää kärsineen.

Vaikka neuvonnassa ei nimenomaisesti kerrota, onko haavoittuvuutta hyödynnetty todellisissa tilanteissa, se korostaa korjaustiedostojen nopean asentamisen merkitystä mahdollisilta hyökkäyksiltä suojautumiseksi. Lisäksi se tarjoaa asiakkaille havaittuihin hyökkäyksiin liittyviä kompromissiindikaattoreita (IoC).

Useat kyberturvayritykset, mukaan lukien Huntress, Rapid7, TrustedSec, GreyNoise ja Volexity, ovat myös raportoineet hyökkäyksistä, joihin liittyy MOVEit nollapäivän haavoittuvuus.

Alphabetin Googlen omistamat Rapid7 Inc ja Mandiant Consulting kertoivat myös löytäneensä useita tapauksia, joissa virhettä on käytetty hyväksi tietojen varastamiseen.

"Massahyökkäystä ja laajaa datavarkautta on tapahtunut viime päivinä", Charles Carmakal, Mandiant Consultingin teknologiajohtaja, sanoi lausunnossaan. Tällaiset "nollapäivän" tai aiemmin tuntemattomat haavoittuvuudet hallituissa tiedostonsiirtoratkaisuissa ovat johtaneet aiemmin tietovarkauksiin, vuotoihin, kiristykseen ja uhrien häpeämiseen, Mandiant sanoi.

"Vaikka Mandiant ei vielä tiedä uhkatekijän motivaatiota, organisaatioiden tulisi valmistautua mahdolliseen kiristykseen ja varastettujen tietojen julkaisemiseen", Carmakal sanoi.

Aikaleima:

Lisää aiheesta TechStartups