MOVEit 文件传输软件0day被用于窃取数据

Progress Software 指出，“根据所使用的数据库引擎（MySQL、Microsoft SQL Server 或 Azure SQL）的不同，攻击者除了能够执行修改或删除数据库元素的 SQL 语句外，还可能能够获取关于数据库结构和内容的信息。”

目前该漏洞的CVE编号正在分配中。

Progress 公司的安全通告有一些歧义，因为该公司表示正在着手推出补丁，但同时列出了应该修复了该漏洞的版本。补丁应当包含在2021.0.6 (13.0.6)、 2021.1.4 (13.1.4)、2022.0.4 (14.0.4)、2022.1.5 (14.1.5) 和 2023.0.1 (15.0.1) 版本中。该产品的云版本似乎也受影响。

该公司的安全公告虽然并未清楚说明该漏洞是否已遭在野利用，但告知客户称打补丁极其重要，并且提供了与相关攻击有关联的妥协指标 (IoCs)。

多家网络安全公司报告称已见到涉及 MOVEit 0day的多起攻击，包括 Huntress、Rapid7、TrustedSec、GreyNoise 和Volexity等。TrustedSec 报道称，大规模利用始于5月28日，攻击者可能利用这一纪念日增加窃取数据的成功率。在这一节假日周末之前也发生了有限的利用。GreyNoise 报道称，与该漏洞相关的扫描活动最早可追溯至3月3日。从最近几天观察到的攻击活动来看，威胁行动者似乎利用该 0day 在 MOVEit 软件的 “wwwroot” 文件夹的 “human2.aspx” 文件中部署了一个 webshell/后门。该后门可导致攻击者获得与 MFT 产品相关的文件和用户列表，下载 MOVEit 中的文件并增加后门管理员用户。

谷歌旗下的 Mandiant 公司一直在调查与该 0day 攻击有关的入侵活动，该公司表示，在过去几天内发现“大规模的利用和广泛的数据盗取活动”。

大型组织机构似乎受影响。目前尚不清楚受影响的组织机构数量，但 Shodan 搜索结果显示约2500个暴露在互联网上的 MOVEit Transfer 实例，该厂商表示其产品用于数万家企业中，其中包括1700家软件厂商。

安全研究员 Kevin Beaumont 提到，其中一个被暴露的 MOVEit 实例似乎属于美国国土安全部 (DHS)。该机构旗下的 CISA 在上周四向组织机构发布提醒。大多数暴露在互联网的实例确实位于美国。攻击者似乎利用该漏洞窃取可能具有价值的数据，这说明攻击的目的可能是勒索性质。如确实如此，则这是近几个越来遭网络犯罪分子攻击的第二款热门 MFT 产品。此前，Fortra 公司的 GoAnywhere 软件漏洞被勒索组织用于窃取很多家组织机构的数据。

题图：Pexels License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    觉得不错，就点个 “在看” 或 "赞” 吧~