FAQ MOVEit转移漏洞和CL0P Ransomware团伙
![MOVEit转移常见问题与漏洞,包括一个剥削的多产CL0P ransomware团伙。](http://www.yyueer.com/sites/default/files/images/articles/Blog-Research-General-Max-Quality_7.jpg)
MOVEit转移常见问题与漏洞,包括一个剥削的多产CL0P ransomware团伙。
6月21日更新:这篇博客已经更新,以反映我们成立的可用性研究咨询小部件识别资产容易受到MOVEit缺陷和仪表板转移到跨多个文件传输解决方案的目标识别漏洞CL0P ransomware团伙。
背景
成立安全响应团队放在一起这个博客回答常见问题(FAQ)有关MOVEit转移的漏洞和CL0P ransomware团伙。
常见问题解答
MOVEit转移是什么?
MOVEit转移是一个安全文件传输管理进步(MFT)软件由软件提供了一个集中的解决方案为各种不同的组织——包括金融服务、医疗、信息技术、政府和军队——安全地共享文件。
第一个漏洞是什么时候MOVEit传输披露?
5月31日进度软件首次发表咨询解决一个“关键”SQL注入漏洞在MOVEit转移。
有多少漏洞被披露在MOVEit转移?
截至2023年6月15日,有三种常见的漏洞和风险敞口(cf)分配多个缺陷MOVEit转移。两三个零日漏洞,虽然只有一个在野外利用。
CVE | 描述 | 披露日期 | 0天? |
---|---|---|---|
cve - 2023 - 34362 | 进步MOVEit转移SQL注入漏洞 | 2023年5月31日 | 是的 |
cve - 2023 - 35036 | 进步MOVEit传递SQL注入漏洞 | 2023年6月9日 | 没有 |
cve - 2023 - 35708 | 进步MOVEit转移特权升级漏洞 | 2023年6月15日 | 是的 |
有补丁可用的所有MOVEit转帐的漏洞吗?
截至2023年6月16日,补丁可用三个cf MOVEit转移:
CVE | 固定的版本 | 发布日期 |
---|---|---|
cve - 2023 - 34362 cve - 2023 - 35036 |
MOVEit转移2023.0.2 (15.0.2) MOVEit转移2022.1.6 (14.1.6) MOVEit转移2022.0.5 (14.0.5) MOVEit转移2021.1.5 (13.1.5) MOVEit转移2021.0.7 (13.0.7) |
2023年6月9日 |
cve - 2023 - 35708 | MOVEit转移2023.03 (15.0.3) MOVEit转移2022.1.7 (14.1.7) MOVEit转移2022.0.6 (14.0.6) MOVEit转移2021.1.6 (13.1.6) MOVEit转移2021.0.8 (13.0.8) |
2023年6月16日 |
建议客户更新的最新版本MOVEit转移。
CVE被利用在野外和谁开发的?
cve - 2023 - 34362,这是5月31日披露,被利用在野外CL0P ransomware团伙。报告显示,确认开发的第一个证据是5月27日,2023年。然而,有报道表明CL0P保持这种零日漏洞口袋早在2021年7月。
CL0P是谁?
CL0P ransomware组的名字是关联到一个演员被称为威胁TA505,CL0P2019年2月首次发现的一个变种CryptoMix ransomware家庭。目前今天更多产的ransomware集团之一,是ransomware-as-a-service(老城)。
老城是什么?
老城是一个服务模型,就像软件作为列车列车运送服务。提供合法的软件应用程序,而是ransomware群体提供必要的恶意软件(ransomware)和基础设施促进ransomware攻击。
这些老城组织依赖于第三方,称为子公司,做实际的肮脏的工作获得初始部署ransomware之前进入一个组织。
这是第一次CL0P目标文件传输解决方案吗?
不,CL0P目标至少其他两个文件传输解决方案可以追溯到2020年12月。
应用程序/解决方案 | 目标日期 | cf |
---|---|---|
Accellion文件传输设备(自由贸易协定) | 2020年12月 | cve - 2021 - 27101 cve - 2021 - 27102 cve - 2021 - 27103 cve - 2021 - 27104 |
Fortra GoAnywhere管理文件传输(MFT) | 2023年1月 | cve - 2023 - 0669 |
进步MOVEit安全分区, | 2023年5月 | cve - 2023 - 34362 |
为什么CL0P目标文件传输软件?
发现零日漏洞等文件传输解决方案的进展MOVEit建议GoAnywhere管辖和Accellion自由贸易协定使CL0P窃取数据潜在的数以百计的集体组织。这个强调数据盗窃允许CL0P将其努力集中在敲诈企业支付赎金要求通过威胁发布其数据泄漏网站上偷来的数据。
数据泄露的网站是什么?
数据泄露的网站是一个网站和由ransomware团伙控制,通常是托管在黑暗中网络和使用名称和羞辱受害者组织发布偷来的数据通过网络攻击的威胁。CL0P运营数据泄漏网站称为“CL0P ^ _-LEAKS”自2020年初以来一直在操作。
图片来源:成立,2023年6月
在ransomware的更多信息,包括老城和数据泄漏网站,请看看我们Ransomware生态系统报告。
使用文件传输软件的组织有多少人在这些攻击被攻破?
基于开源情报,CL0P设法妥协50多个组织Accellion违反2020年至2021年,据说GoAnywhere违反,据报道的超过130个组织与MOVEit违反“数百名”,根据该团伙的消息在其CL0P ^ _-LEAKS数据泄露的网站。
图片来源:成立,2023年6月
还有其他信息CL0P及其攻击MOVEit转移客户?
是的,网络安全和基础设施安全机构(CISA)和联邦调查局(FBI)发表了一篇# StopRansomware联合网络安全咨询(CSA) 6月7日(确认为aa23 - 158 a)关于CL0P及其剥削MOVEit转移的cve - 2023 - 34362。它包括信息集团,第一个漏洞(cve - 2023 - 34362)以及检测方法和指标的妥协与这次袭击有关。
是什么方面我/我的组织可以识别这些漏洞在MOVEit转移?
截至2023年6月15日,成立了以下检测插件和版本检查插件MOVEit转移。一个版本检查插件cve - 2023 - 35708很快就会被释放。
插件ID | 标题 | 严重程度 | cf | 家庭 |
---|---|---|---|---|
90190年 | “进步MOVEit转移安装(Windows)” | 信息 | - - - - - - | 窗户 |
176735年 | “进步MOVEit转移Web界面检测” | 信息 | - - - - - - | 服务发现 |
176736年 | “进步MOVEit转移FTP检测” | 信息 | - - - - - - | FTP |
176567年 | “进步MOVEit转移< 2020.0 / 2020.1/2021.0 < 2021.0.6 / 2021.1.0 < 2021.1.4 / 2022.0.0 < 2022.0.4 / 2022.1.0 < 2022.1.5 / 2023.0.0 < 2023.0.1关键漏洞(2023年5月)” | 至关重要的 | cve - 2023 - 34362 | 窗户 |
177082年 | “进步MOVEit转移< 2020.1.9 / 2021.0。x < 2021.0.7 / 2021.1。x < 2021.1.5 / 2022.0。x < 2022.0.5 / 2022.1。x < 2022.1.6 / 2023.0。x < 2023.0.2关键漏洞(2023年6月)” | 至关重要的 | cve - 2023 - 35036 | 窗户 |
177371年 | “进步MOVEit转移< 2020.1.10 / 2021.0。x < 2021.0.8 / 2021.1。x < 2021.1.6 / 2022.0。x < 2022.0.6 / 2022.1。x < 2022.1.7 / 2023.0。x < 2023.0.3特权升级” | 至关重要的 | cve - 2023 - 35708 | 窗户 |
下面列出的横切ATT&CK技术与CL0P ransomware团伙被映射到站得住脚的攻击路径分析技术:
技术ID | 描述 | 攻击路径技术 |
---|---|---|
T1021.002 | 远程服务:SMB / Windows管理股票 | T1021.002_Windows |
T1059.001 | 命令和脚本解释器:PowerShell (Windows) | T1059.001_Windows |
T1068 | 剥削的特权升级(Windows) | T1068_Windows |
除了我们的插件,客户还可以利用我们的站得住脚的研究咨询小部件站得住脚的脆弱性管理(原名Tenable.io)识别资产包含缺失的补丁或补丁:
例如,下图包括资产与缺失的补丁列表使用站得住脚的研究咨询窗口小部件:
除了确定这篇文章中概述的MOVEit转移漏洞,站得住脚的研究放在一起站得住脚的脆弱性管理和仪表板成立安全中心(原Tenable.sc)跨多个文件传输解决方案,包括已知的漏洞,一直受到CL0P ransomware帮派过去三年。
站得住脚的脆弱性管理仪表板:
成立安全中心指示板:
我们也发表了博文后的仪表板的更多信息:
由MOVEit站得住脚的影响传输CL0P所使用的漏洞?
不,站得住脚的不利用MOVEit传输软件。
获得更多的信息
- cve - 2023 - 34362: MOVEIt传输关键零日漏洞利用在野外
- 软件安全中心:MOVEit转移和MOVEit云弱点
- 进步软件MOVEit转移关键漏洞(cve - 2023 - 34362)
- 进步软件MOVEit转移关键漏洞(cve - 2023 - 35036)
- 进步软件MOVEit转移关键漏洞(cve - 2023 - 35708)
加入站不住脚的安全响应团队站得住脚的社区。
了解更多关于开云app安装不了怎么办 现代风险管理平台的攻击表面。
更改日志
6月21日更新:这篇博客已经更新,以反映我们成立的可用性研究咨询小部件识别资产容易受到MOVEit缺陷和仪表板转移到跨多个文件传输解决方案的目标识别漏洞CL0P ransomware团伙。
相关文章
- 风险管理
- 风险管理