cve - 2023 - 34362: MOVEIt传输关键零日漏洞利用在野外

发现一个新的零日漏洞MOVEit转移成为第二个零日披露管理文件传输解决方案在2023年,有报道表明威胁演员偷来的数据从多个组织。

背景

5月31日进展软件公司(“进步软件”),发布一个顾问的“关键”漏洞MOVEit转让、安全管理文件传输(MFT)软件使用的各种组织。的出版咨询后,报告出现的缺陷已经在野外利用零日。

*请注意:站得住脚的脆弱性优先级评级(冲程体积)的分数计算。这篇博客更新6月9日,反映了当时冲程体积。

6月9日进度软件发布一个新的咨询额外的SQL注入漏洞发现作为安全审计的一部分发现后进行了cve - 2023 - 34362。

分析

cve - 2023 - 34362是一个SQL注入漏洞MOVEit转移web应用程序。一个未经身份验证的远程攻击者可以利用这个漏洞通过发送一个请求特殊的脆弱MOVEit传输实例。成功的开发将使攻击者访问底层MOVEit传输实例。此外,进步软件指出,攻击者”可以推断信息数据库的结构和内容“根据具体使用的数据库引擎(比如MySQL、Microsoft SQL Server或SQL Azure)。

除了on-prem版MOVEit转让、软件确认进展声明BleepingComputerMOVEit云也影响,增加“立即采取行动,包括降低MOVEit云,以确保顾客的安全,当我们回顾了严峻的形势。”

关键MOVEit脆弱性一直在野外利用零日

虽然进步软件没有明确提到它作为零日,BleepingComputer报告他们已经学会了“威胁”演员一直利用缺陷为零日”从组织执行质量下载数据。”在这篇文章发表的时候,我们不知道任何特定的演员,负责攻击的威胁。然而,自出版以来,马蹄声ransomware集团声称的攻击。

马蹄声声称它下载大量数据和美国机构发行网络安全顾问

图片来源:成立,2023年6月

在其数据泄漏通知网站,马蹄声州他们能够“下载很多”数据使用”特殊利用”,并补充说他们是“只有一个人执行(原文如此)攻击(原文如此)。”而不是事先联系或命名的受害者,马蹄声指示可能受到影响的公司“电话”他们在“公司名称发布(原文如此)。“集团计划6月14日发布受害者组织的名称。

注意消息还包括一个具体的实体,如政府、城市或警察服务,声称该组织“抹去”的所有与这些实体相关的数据,并补充说他们已经“公开这些信息毫无兴趣。”

图片来源:成立,2023年6月

此外,联邦调查局(FBI)和网络安全基础设施安全机构(CISA)发表一个联合网络安全咨询(CSA)6月7日的马蹄声ransomware组。,这两个机构证实了归因MOVEit攻击的马蹄声ransomware组。此外,CSA包括关于策略的详细信息,技术和程序(ttp)的马蹄声ransomware组。

至少2500 MOVEit转移可能脆弱的情况下公开访问

基于Shodan查询从Shodan本身,有2526 MOVEit转移可能脆弱的情况下公开截至6月2日,2023年,源自美国的近四分之三(73.4%),其次是英国的5%和德国的4.6%。

图片来源:成立,2023年6月

第二个分区,零日漏洞发现于2023年

发现MOVEit cve - 2023 - 34362的2023年第二次MFT解决方案是利用零日。今年2月,Fortra(以前HelpSystems)披露pre-authentication命令注入零日漏洞的建议GoAnywhere解决客户的技术公告作为共享的记者布莱恩克雷布斯。确认为cve - 2023 - 0669,Fortra证实GoAnywhere客户的系统1月28日至1月30日访问吗使用缺陷的一部分其总结调查。的马蹄声ransomware集团了信贷的攻击,声称它偷了数据从130年“在组织。“黑猫奔跑着另外,/ ALPHV ransomware组也观察到利用cve - 2023 - 0669吗。

文件传输应用程序数据盗窃和敲诈勒索的福音

前发现的cve - 2023 - 0669,对照ransomware组与大量的攻击源于四个缺陷Accellion的文件传输设备(自由贸易协定)一个临终的解决方案,利用在2020年12月中后期。

文件传输解决方案是独特定位的一个有价值的网络罪犯的目标,尤其是ransomware组。虽然ransomware袭击在过去五年的增长很大程度上归因于double-extortion采用的技术,包括数据加密以及数据盗窃和威胁要发布数据泄漏网站上偷来的数据,新组完全出现了上述数据加密或现有组旋转远离它,选择把重点放在数据盗窃。

建议解决方案的妥协以威胁演员创造snowball-like效应,在未来几天和几周内,我们可能会了解哪些组织是影响这一缺陷,通过ransomware数据泄漏影响组织的网站或违反信息披露。

MOVEit转移客户应该承担妥协;启动应急响应

这个漏洞是利用零日,MOVEit转移客户应该认为这是一个疑似妥协并启动事件反应(IR)的过程。的从进步软件咨询包括指标的妥协(国际石油公司)的列表,其中包括一个名为“human2的网站管理权限。aspx”和“human2.aspx。lnk”连同一个指挥和控制交通信号列表,可以用作红外调查的一部分。

额外的技术分析,请参考几个博客,发表(1,2,3自咨询发布)。此外,我们的合作伙伴在GreyNoise建议审核系统国际石油公司可以追溯到至少90天吗前公开披露的缺陷。

概念验证

在这篇文章发表的时候,没有概念验证(PoC)利用cve - 2023 - 34362。

解决方案

进步软件发布了以下的固定版本MOVEit转移on-prem cve - 2023 - 34362:

如果升级到一个固定的版本并不可行,进度软件建议禁用HTTP(端口80)和HTTPS交通(端口443)MOVEit转移在此期间为了防止剥削。

cve - 2023 - 35036, 6月9日披露进展软件发布以下固定版本的MOVEit on-prem转移:

一个特殊的2020.1补丁可供MOVEit转移。x(12.1),而用户2020.0 MOVEit转移。x(12.0)及以上要求升级到支持的版本。

确定影响系统

这部分是更新的6月9日。

我们检测插件进步MOVEit转移已经更新和一个额外的版本检查插件创建了(身份证:177082)。很快更新插件应该提供给客户。

获得更多的信息

• 进步咨询:MOVEit传输关键的弱点
• 文章:新MOVEit转移零mass-exploited数据盗窃攻击
• 博客:进步的MOVEit转移关键的弱点
• 博客:MOVEit转移关键漏洞快速反应
• 博客:关键漏洞进步MOVEIT传输:技术分析和建议

加入站不住脚的安全响应团队站得住脚的社区。

了解更多关于成立一个现代风险管理平台的攻击表面。