Bleeping Computer 網站披露,CISA 將 Progress MOVEit Transfer 管理文件傳輸(MFT)解決方案中一個安全漏洞添加到其已知被利用漏洞列表中,并命令美國聯邦機構在 6 月 23 日前修補其系統。
該關鍵安全漏洞被追蹤為 CVE-2023-34362,是一個 SQL 注入漏洞,未經身份驗證的遠程攻擊者能夠利用其訪問 MOVEit Transfer 的數據庫并執行任意代碼。
(資料圖片)
根據具有約束力的操作指令(BOD 22-01),一旦將某個安全漏洞添加到 CISA 已知被利用漏洞目錄中,聯邦民事行政分支機構(FCEB)必須修補該漏洞。值得一提的是,雖然 BOD 22-01 主要針對聯邦機構,但強烈建議私營公司同樣優先保護其系統免受 MOVEit 傳輸漏洞的影響。
Progress 建議所有客戶給他們的 MOVEit Transfer 實例打補丁,以阻止潛在的安全風險,對于那些不能立即應用安全更新的客戶也可以禁用所有通往其 MOVEit Transfer 環境的 HTTP 和 HTTPS 流量。
受影響的 MOVEit Transfer 版本和固定版本列表如下。
目前,互聯網上有超過 2500 臺 MOVEit 傳輸服務器,其中大部分位于美國。據 Mandiant 公司首席技術官 Charles Carmakal 稱至少從 5 月 27 日開始,網絡攻擊者就一直在利用 CVE-2023-34362 漏洞,這一時間比 Progress 公司公開披露并測試脆弱系統安全補丁的節點早四天。
Carmakal 告訴 BleepingComputer,在過去幾天發生多起大規模漏洞利用和數據盜竊事件,Mandiant 還不清楚攻擊者的犯罪動機,企業應該為數據泄露和潛在的勒索做好心里準備。
網絡攻擊者能夠利用漏洞進行多種攻擊BleepingComputer 獲悉,在新發現的網絡外殼(Mandiant 稱之為 LemurLoot)的幫助下,攻擊者已經攻破多個組織,盜取了大量數據。LemurLoot 能夠幫助攻擊者獲取包括可用于從受害者的 Azure Blob Storage 容器中滲出數據登錄憑證等在內的多個 Azure Blob Storage 賬戶信息。
Mandiant 還發現針對 MOVEit 傳輸服務器的攻擊與 FIN11威脅團伙之間可能存在聯系,該組織以在其他文件傳輸系統中利用零日漏洞后,通過 Clop 勒索軟件的泄漏網站進行數據盜竊勒索而聞名。
截至目前,由于攻擊者還沒有開始勒索受害者,對于他們的詳細身份信息尚不可知。此外,對于 CVE-2023-34362 漏洞的利用與 2020 年 12 月對 Accelion FTA 服務器的零日漏洞利用和 2023 年 1 月對 GoAnywhere MFT 零日漏洞大規模利用高度相似。 GoAnywhere MFT 和 Accelion FTA 被臭名昭著的 Clop 勒索軟件團伙盯上后,被竊取了大量數據并成為了勒索攻擊受害者。
文章來源:https://www.bleepingcomputer.com/news/security/cisa-orders-govt-agencies-to-patch-moveit-bug-used-for-data-theft/
標簽:
