Xakep #305. Многошаговые SQL-инъекции
Продолжают шириться последствия от эксплуатации 0-day уязвимости в решении для управления передачей файлов MOVEit Transfer. Общее количество пострадавших компаний уже перевалило за 100, и среди подтвердивших компрометацию жертв теперь числятся Siemens Energy и Schneider Electric.
Напомню, что все началось с 0-day уязвимости (CVE-2023-34362) в решении для управления передачей файлов MOVEit Transfer, которую обнаружили в начале июня 2023 года. Проблеме оказались подвержены все версии MOVEit Transfer, и сообщалось, что атаки на них начались еще 27 мая 2023 года.
Злоумышленники использовали эту уязвимость, чтобы разместить на уязвимых серверах кастомные веб-шеллы, что позволило им получить список файлов, хранящихся на сервере, скачать файлы, а также похитить учетные данные и секреты учетных записей Azure Blob Storage, включая параметры AzureBlobStorageAccount, AzureBlobKey и AzureBlobContainer.
В итоге аналитики Microsoft связали массовые атаки с вымогательской хак-группой Clop (она же Lace Tempest, TA505, FIN11 или DEV-0950). И вскоре хакеры начали выдвигать требования и вымогать выкуп у пострадавших компаний.
К настоящему моменту известно, что в ходе атак суммарно были скомпрометированы сотни компаний. За прошедшие недели взлом подтвердили множество пострадавших. Среди них: компания Zellis, британский поставщик решения для расчета заработной платы и управления персоналом, среди клиентов которой числятся Sky, Harrods, Jaguar, Land Rover, Dyson и Credit Suisse. Из-за взлома Zellis были скомпрометированные данные ирландской авиакомпании Aer Lingus, авиакомпании British Airways, BBC, британской аптечная сети Boots.
Также утечки данных затронули Университет Рочестера, правительство Новой Шотландии, власти американских штатов Миссури и Иллинойс, BORN Ontario, Ofcam, Extreme Networks и Американское терапевтическое общество.
На этой неделе список пострадавших продолжил расшиться. Так, об атаке и утечке данных сообщили представители Калифорнийского университета в Лос-Анджелесе (UCLA). Представители учебного заведения заявили, что уже уведомили о случившемся ФБР и привлекли к делу сторонних ИБ-экспертов, чтобы расследовать атаку и понять, какие данные были затронуты.
Также атаки на баг в MOVEit Transfer затронули Siemens Energy — мюнхенскую энергетическую компанию, в которой работает 91 000 человек по всему миру. Хотя в настоящее время «слива» данных еще не произошло, Clop уже включила Siemens Energy в число пострадавших на своем сайте в даркнете, а представители компании подтвердили СМИ, что были взломаны в ходе недавних атак Clop.
В Siemens Energy подчеркивают, что никакие важные данные не были украдены и бизнес-операции компании не пострадали.
Вместе с Siemens Energy на сайт Clop был добавлен и другой промышленный гигант — французская Schneider Electric, занимающаяся энергомашиностроением и производящая оборудования для энергетических подкомплексов промышленных предприятий, объектов гражданского и жилищного строительства, ЦОД и так далее.
В Schneider Electric сообщили, что после известий об уязвимости в MOVEit Transfer в компании «оперативно развернули доступные средства для защиты данных и инфраструктуры». В настоящее время ИБ-специалисты компании расследуют последствия инцидента и заявления Clop о краже данных.
Помимо перечисленных технологических гигантов, недавно список жертв хакеров пополнили: