На прошлой неделе стало известно, что в ходе аудита в решении для управления передачей файлов MOVEit Transfer были обнаружены новые критические баги. Ранее из-за эксплуатации 0-day уязвимости в MOVEit Transfer уже были скомпрометированы сотни компаний, причем взлом затронул таких гигантов, как British Airways и BBC.
Предыстория
0-day уязвимость (CVE-2023-34362) в решении для управления передачей файлов MOVEit Transfer была обнаружена в начале июня 2023 года. Проблеме оказались подвержены все версии MOVEit Transfer, и сообщалось, что атаки на них начались еще 27 мая 2023 года.
Баг представлял собой SQL-инъекцию, которая приводит к удаленному выполнению кода. Так, эксплуатация уязвимости может привести к повышению привилегий и дает третьим лицам несанкционированный доступ к среде MOVEit Transfer.
Злоумышленники использовали уязвимость, чтобы разместить на уязвимых серверах кастомные веб-шеллы, что позволило им получить список файлов, хранящихся на сервере, скачать файлы, а также похитить учетные данные и секреты учетных записей Azure Blob Storage, включая параметры AzureBlobStorageAccount, AzureBlobKey и AzureBlobContainer.
Аналитики Microsoft связали эти атаки с вымогательской хак-группой Clop (она же Lace Tempest, TA505, FIN11 или DEV-0950).
Вскоре стало известно, что суммарно в ходе атак были скомпрометированы сотни компаний, причем взлом подтвердили ирландская авиакомпания Aer Lingus, авиакомпания British Airways, BBC и британская аптечная сеть Boots.
Теперь разработчики MOVEit Transfer предупредили клиентов о новых критических уязвимостях в своем продукте для управления передачей файлов. Новые баги были найдены во время аудита безопасности, который после массовых атак провели специалисты из компании Huntress.
Как сообщает производитель, новые уязвимости представляют собой SQL-инъекций и затрагивают все версии MOVEit Transfer, позволяя неаутентифицированным злоумышленникам взламывать доступные через интернет серверы, изменяя или похищая информацию пользователей.
«Все клиенты MOVEit Transfer должны установить новый патч, выпущенный 9 июня 2023 года. Расследование еще продолжается, но в настоящее время мы не обнаружили признаков эксплуатации этих недавно обнаруженных уязвимостей», — добавляют в компании.
Разработчики отмечают, что все кластеры MOVEit Cloud уже получили свежие исправления, обезопасившие их от потенциальных попыток атак.
Также стоит отметить, что на днях для появился PoC-эксплоит для оригинальной уязвимости нулевого дня (CVE-2023-34362), с которой начались массовые атаки на клиентов MOVEit Transfer. Эксплоит, а также детальный технический анализ уязвимости и список индикаторов компрометации, которые сетевые защитники могут использовать для обнаружения эксплуатации бага на уязвимых серверах, опубликовали исследователи из компании Horizon3.
ИБ-эксперты предупреждают, что после релиза этого эксплоита больше злоумышленников, вероятно, станут использовать его в атаках или создадут собственные версии для атак на неисправленные серверы, по-прежнему доступные в интернете.
