MOVEit漏洞利用PoC已发布
近来勒索软件组织Cl0P利用MOVEit传输服务器的远程执行漏洞攻击了包括BBC和英国航空在内的多家大型组织,CISA也将该漏洞添加到已知漏洞利用列表中,并命令美国联邦机构在6月23日之前修补系统。
但是随着MOVEit漏洞利用PoC的发布,面临风险的IT管理人员们需要加快漏洞修补的速度。
近日,安全研究人员先后发布了MOVEit(CVE-2023-34362)的PoC利用和漏洞分析。
Horizon3安全研究人员在Github发布了MOVEit漏洞的概念验证(PoC)漏洞利用代码,并提供了漏洞的技术原因分析。
Rapid7则发布了MOVEit的漏洞分析和完整利用链。
此外,Progress Software和Huntress研究人员最近发现了另一组影响MOVEit传输服务器的SQL注入漏洞(CVE-2023-35036)。
专家警告说,PoC的发布意味着其他攻击者可能会尝试使用它来破坏未打补丁的联网设备,企业IT和安全管理人员应尽快修复漏洞(目前CVE-2023-34362和CVE-2023-35036都已经有补丁程序)。所有使用本地MOVEit Transfer或云服务(MOVEit Cloud)的企业都应检查攻击和数据盗窃的证据。
新确认的受害者名单
已确认的受害组织名单正不断增加,最新上榜的企业和机构包括:
- 英国媒体监管机构Ofcom
- 安永会计师事务所(EY)
- 伦敦交通局(负责英国首都大部分交通网络的地方政府机构)
- 明尼苏达州教育部
- 伊利诺伊州创新与技术部
Ofcom表示,黑客在攻击期间下载了受其监管的某些公司的部分信息(其中一些是机密信息)以及412名Ofcom员工的个人数据。
伦敦交通局告诉BBC,其一名承包商遭遇数据泄露,被盗数据不包括银行详细信息或乘客数据。
明尼苏达州教育部(MDE)表示,他们在收到Progress Software关于该漏洞(CVE-2023-34362)的通知后于5月31日发现了该漏洞,初步调查发现有24个文件被访问,这些文件包含有关全州约9.5万名寄养学生的信息,包括姓名、出生日期和安置县、家庭住址和父母/监护人姓名,但不包含任何财务信息。迄今为止,还没有人提出赎金要求,MDE也不知道数据已被共享或在线发布。”
伊利诺伊州创新与技术部(DoIT)则表示“大量个人可能会受到影响”。
勒索软件组织Cl0p上周二晚些时候在其暗网站点上宣布,其受害者(CL0P宣称有数百家企业和机构)必须在6月14日之前联系该组织协商赎金,否则将把被盗数据泄露到网上。Cl0P还宣称已经删除了从政府、警察机构和城市窃取的数据,且不会勒索这些实体。
参考链接:
https://www.horizon3.ai/moveit-transfer-cve-2023-34362-deep-dive-and-indicators-of-compromise/