查看原文
其他

MOVEit 文件传输软件0day被用于窃取数据

Eduard Kovacs 代码卫士 2023-06-20

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士



5月31日,Progress Software 提醒称 MOVEit Transfer 管理文件传输 (MFT) 软件受一个严重的SQL注入漏洞影响,可导致未认证攻击者访问 MOVEit Transfer 数据库。




Progress Software 指出,“根据所使用的数据库引擎(MySQL、Microsoft SQL Server 或 Azure SQL)的不同,攻击者除了能够执行修改或删除数据库元素的 SQL 语句外,还可能能够获取关于数据库结构和内容的信息。”

目前该漏洞的CVE编号正在分配中。

Progress 公司的安全通告有一些歧义,因为该公司表示正在着手推出补丁,但同时列出了应该修复了该漏洞的版本。补丁应当包含在2021.0.6 (13.0.6)、 2021.1.4 (13.1.4)、2022.0.4 (14.0.4)、2022.1.5 (14.1.5) 和 2023.0.1 (15.0.1) 版本中。该产品的云版本似乎也受影响。

该公司的安全公告虽然并未清楚说明该漏洞是否已遭在野利用,但告知客户称打补丁极其重要,并且提供了与相关攻击有关联的妥协指标 (IoCs)。

多家网络安全公司报告称已见到涉及 MOVEit 0day的多起攻击,包括 Huntress、Rapid7、TrustedSec、GreyNoise 和Volexity等。TrustedSec 报道称,大规模利用始于5月28日,攻击者可能利用这一纪念日增加窃取数据的成功率。在这一节假日周末之前也发生了有限的利用。GreyNoise 报道称,与该漏洞相关的扫描活动最早可追溯至3月3日。从最近几天观察到的攻击活动来看,威胁行动者似乎利用该 0day 在 MOVEit 软件的 “wwwroot” 文件夹的 “human2.aspx” 文件中部署了一个 webshell/后门。该后门可导致攻击者获得与 MFT 产品相关的文件和用户列表,下载 MOVEit 中的文件并增加后门管理员用户。

谷歌旗下的 Mandiant 公司一直在调查与该 0day 攻击有关的入侵活动,该公司表示,在过去几天内发现“大规模的利用和广泛的数据盗取活动”。

大型组织机构似乎受影响。目前尚不清楚受影响的组织机构数量,但 Shodan 搜索结果显示约2500个暴露在互联网上的 MOVEit Transfer 实例,该厂商表示其产品用于数万家企业中,其中包括1700家软件厂商。

安全研究员 Kevin Beaumont 提到,其中一个被暴露的 MOVEit 实例似乎属于美国国土安全部 (DHS)。该机构旗下的 CISA 在上周四向组织机构发布提醒。大多数暴露在互联网的实例确实位于美国。攻击者似乎利用该漏洞窃取可能具有价值的数据,这说明攻击的目的可能是勒索性质。如确实如此,则这是近几个越来遭网络犯罪分子攻击的第二款热门 MFT 产品。此前,Fortra 公司的 GoAnywhere 软件漏洞被勒索组织用于窃取很多家组织机构的数据。


代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读

奇安信入选全球《软件成分分析全景图》代表厂商

黑客早在2022年10月就利用0day 攻击 Barracuda ESG 设备

利用5个0day的安卓恶意软件 Predator 内部工作原理曝光

Barracuda 邮件网关遭 0day 漏洞利用攻击

苹果修复3个已遭利用的新 0day

0day 可导致设备遭远程攻陷 贝尔金不打算修复



原文链接

https://www.securityweek.com/zero-day-in-moveit-file-transfer-software-exploited-to-steal-data-from-organizations/


题图:Pexels License


本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存