A CISA adicionou uma vulnerabilidade de segurança ativamente explorada na solução de transferência de arquivos gerenciados Progress MOVEit Transfer à sua lista de vulnerabilidades conhecidas, ordenando que as agências federais dos EUA corrijam seus sistemas até 23 de junho.
A falha crítica (rastreada como
CVE-2023-34362
) é uma vulnerabilidade de injeção SQL que permite que invasores remotos não autenticados acessem o banco de dados do MOVEit Transfer e executem códigos arbitrários.
De acordo com a diretiva operacional vinculativa de novembro de 2022 (BOD 22-01), as Agências do Poder Executivo Civil Federal (FCEB) devem corrigir essa vulnerabilidade de segurança assim que adicionada ao catálogo de Vulnerabilidades Conhecidas Exploradas da CISA.
Embora a BOD 22-01 se concentre principalmente em agências federais, é altamente recomendável que empresas privadas também priorizem a segurança de seus sistemas contra essa falha do MOVEit Transfer ativamente explorada.
A Progress aconselha todos os clientes a corrigirem suas instâncias de MOVEit Transfer para bloquear tentativas de exploração e possíveis violações.
Aqueles que não podem aplicar imediatamente as atualizações de segurança também podem desativar todo o tráfego HTTP e HTTPS para seus ambientes de MOVEit Transfer para reduzir a superfície de ataque.
Você pode encontrar a lista de versões afetadas do MOVEit Transfer e as versões corrigidas na tabela abaixo.
Atualmente, existem mais de 2.500 servidores MOVEit Transfer na Internet, a maioria dos quais estão nos Estados Unidos.
Os atores de ameaças têm explorado o
CVE-2023-34362
como uma vulnerabilidade zero-day desde pelo menos 27 de maio, de acordo com o CTO da Mandiant, Charles Carmakal, quatro dias antes que a Progress a divulgasse publicamente e começasse a testar patches de segurança para sistemas vulneráveis.
"A exploração em massa e o amplo roubo de dados ocorreram nos últimos dias", disse Carmakal ao BleepingComputer.
"Embora a Mandiant ainda não saiba a motivação do ator da ameaça, as organizações devem se preparar para extorsão potencial e publicação dos dados roubados".
O BleepingComputer foi informado de que várias organizações já foram violadas e seus dados roubados com a ajuda de um novo web shell descoberto (denominado LemurLoot pela Mandiant).
O LemurLoot ajuda os invasores a coletar informações da conta Azure Blob Storage, incluindo credenciais que podem ser usadas para exfiltrar dados dos contêineres do Azure Blob Storage das vítimas.
A Mandiant também encontrou possíveis links entre ataques direcionados a servidores MOVEit Transfer e o grupo de ameaças financeiramente motivado FIN11, conhecido por tentativas de extorsão de roubo de dados por meio do site de vazamento do ransomware Clop após a exploração de vulnerabilidades zero-day em outros sistemas de transferência de arquivos.
Até agora, a identidade dos atacantes permanece desconhecida, já que ainda não começaram a extorquir suas vítimas.
No entanto, o método de exploração tem uma semelhança notável com instâncias anteriores, incluindo a exploração zero-day de servidores Accellion FTA em dezembro de 2020 e a exploração em massa de um zero-day do GoAnywhere MFT em janeiro de 2023.
Ambos o GoAnywhere MFT e o Accellion FTA são plataformas de transferência de arquivos gerenciados que foram alvo do notório grupo de ransomware Clop para roubar dados e extorquir vítimas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...