MOVEit gehackt: Hackers misbruikten de zero-day-kwetsbaarheid in een populaire tool voor bestandsoverdracht om gegevens van organisaties te stelen, zeggen onderzoekers

MOVEit van Progress Software is het slachtoffer geworden van een onlangs ontdekte zero-day-kwetsbaarheid nadat hackers de fout in de populaire tool voor bestandsoverdracht hebben misbruikt om kritieke gegevens van verschillende organisaties te stelen, zeiden Amerikaanse beveiligingsonderzoekers donderdag.

Het nieuws kwam slechts een dag nadat Progress het in Burlington, Massachusetts gevestigde Progress Software bekendmaakte dat er een beveiligingsfout was ontdekt. MOVEit stelt organisaties in staat bestanden en gegevens over te dragen tussen zakenpartners en klanten.

De omvang van de impact op organisaties of het exacte aantal getroffenen door potentiële inbreuken veroorzaakt door de software was niet onmiddellijk bekend. Ian Pitt, de Chief Information Officer, weigerde specifieke details vrij te geven over de betrokken organisaties.

Pitt bevestigt echter dat Progress Software snel oplossingen beschikbaar had gesteld toen ze zich bewust werden van de kwetsbaarheid, die op de avond van 28 mei werd ontdekt. ​​Hij zei ook vertelde Reuters in een verklaring dat de cloudgebaseerde dienst die bij de software hoort, ook enkele negatieve effecten had ondervonden als gevolg van deze situatie. “Op dit moment zien we geen exploit van het cloudplatform”, zei hij.

Op 31 mei heeft Progress Software een waarschuwing afgegeven met betrekking tot een kritieke kwetsbaarheid in zijn MOVEit Transfer managed file transfer (MFT)-software. De fout in kwestie is een kwetsbaarheid voor SQL-injectie, die een aanzienlijke bedreiging vormt omdat deze kan worden uitgebuit door een niet-geverifieerde aanvaller. Door misbruik te maken van dit beveiligingslek wordt ongeautoriseerde toegang verleend tot MOVEit Transfer-databases.

“Afhankelijk van de database-engine die wordt gebruikt (MySQL, Microsoft SQL Server of Azure SQL), kan een aanvaller mogelijk informatie over de structuur en inhoud van de database afleiden, naast het uitvoeren van SQL-instructies die database-elementen wijzigen of verwijderen,” zei het bedrijf.

Aan de kwetsbaarheid in kwestie wordt momenteel een CVE-identifier toegewezen. Het advies van Progress Software kan enigszins verwarrend zijn, omdat het vermeldt dat het bedrijf actief werkt aan het ontwikkelen van patches en tegelijkertijd bijgewerkte versies opsomt waarvan wordt aangenomen dat ze het beveiligingsprobleem verhelpen.

De patches zullen naar verwachting worden opgenomen in de versies 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5) en 2023.0.1 ( 15.0.1). Het is vermeldenswaard dat de cloudgebaseerde versie van de software ook getroffen lijkt te zijn.

Hoewel het advies niet expliciet vermeldt of de kwetsbaarheid in reële situaties is uitgebuit, benadrukt het het cruciale belang van het onmiddellijk toepassen van patches ter bescherming tegen mogelijke aanvallen. Bovendien biedt het klanten indicatoren van compromissen (IoC's) die verband houden met de waargenomen aanvallen.

Verschillende cyberbeveiligingsbedrijven, waaronder Huntress, Rapid7, TrustedSec, GreyNoise en Volexity, hebben ook gevallen gemeld van aanvallen met betrekking tot de MOVEit zero-day-kwetsbaarheid.

Rapid7 Inc en Mandiant Consulting, eigendom van Google van Alphabet, zeiden ook dat ze een aantal gevallen hadden gevonden waarin de fout was misbruikt om gegevens te stelen.

“Massa-uitbuiting en grootschalige datadiefstal hebben de afgelopen dagen plaatsgevonden”, zegt Charles Carmakal, chief technology officer van Mandiant Consulting, in een verklaring. Dergelijke ‘zero-day’- of voorheen onbekende kwetsbaarheden in beheerde oplossingen voor bestandsoverdracht hebben in het verleden geleid tot gegevensdiefstal, lekken, afpersing en het beschamen van slachtoffers, aldus Mandiant.

“Hoewel Mandiant de motivatie van de bedreigingsacteur nog niet kent, moeten organisaties zich voorbereiden op mogelijke afpersing en publicatie van de gestolen gegevens”, aldus Carmakal.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoAiStream. Web3 gegevensintelligentie. Kennis versterkt. Toegang hier.
• De toekomst slaan met Adryenn Ashley. Toegang hier.
• Koop en verkoop aandelen in PRE-IPO-bedrijven met PREIPO®. Toegang hier.
• Bron: https://techstartups.com/2023/06/02/moveit-hacked-hackers-exploited-zero-day-vulnerability-in-popular-file-transfer-tool-to-steal-data-from-organizations-researchers-say/