A Progress Software alertou seus clientes hoje sobre novas vulnerabilidades críticas de injeção SQL encontradas em sua solução de transferência gerenciada de arquivos (MFT) MOVEit Transfer que podem permitir que invasores roubem informações dos bancos de dados dos clientes.
Esses bugs de segurança foram descobertos com a ajuda da empresa de segurança cibernética Huntress após revisões detalhadas de código iniciadas pela Progress em 31 de maio, quando abordou uma falha explorada como zero-day pelo grupo de ransomware Clop em ataques de roubo de dados.
Eles afetam todas as versões do MOVEit Transfer e permitem que invasores não autenticados comprometam servidores expostos à Internet para alterar ou extrair informações do cliente.
"Um invasor pode enviar um payload criada para um endpoint de aplicação MOVEit Transfer que pode resultar na modificação e divulgação do conteúdo do banco de dados MOVEit", diz a Progress em um aviso publicado hoje.
"Todos os clientes do MOVEit Transfer devem aplicar o novo patch, lançado em 9 de junho de 2023.
A investigação está em andamento, mas atualmente não vimos indicações de que essas vulnerabilidades recém-descobertas tenham sido exploradas", acrescentou a empresa.
A Progress diz que todos os clusters do MOVEit Cloud já foram corrigidos contra essas novas vulnerabilidades para protegê-los contra possíveis tentativas de ataque.
Abaixo você pode encontrar a lista atual de versões do MOVEit Transfer que possuem um patch disponível para essas novas vulnerabilidades: O grupo de ransomware Clop assumiu a responsabilidade por visar o zero-day MOVEit Transfer
CVE-2023-34362
em uma mensagem enviada ao Bleepingomputer no fim de semana, o que levou a uma série de ataques de roubo de dados que supostamente afetaram "centenas de empresas".
Embora a credibilidade de suas declarações permaneça incerta, a admissão do grupo está alinhada com as descobertas da Microsoft, que vinculou essa campanha ao grupo de hackers que rastreia como Lace Tempest, que se sobrepõe às atividades de TA505 e FIN11.
Especialistas em segurança da Kroll também encontraram evidências de que o Clop vem procurando maneiras de explorar o zero-day MOVEit agora corrigido desde 2021, bem como métodos para extrair dados de servidores MOVEit comprometidos desde pelo menos abril de 2022.
O grupo de cibercriminosos Clop tem um histórico de orquestrar campanhas de roubo de dados e explorar vulnerabilidades em várias plataformas de transferência gerenciada de arquivos.
Esses exploits incluíram a violação zero-day de servidores Accellion FTA em dezembro de 2020, os ataques de transferência gerenciada de arquivos SolarWinds Serv-U em 2021 e a ampla exploração de um zero-day GoAnywhere MFT em janeiro de 2023.
Desde que os ataques de roubo de dados do MOVEit do Clop foram divulgados, as organizações afetadas começaram lentamente a se apresentar para reconhecer violações de dados e incidentes de segurança.
Por exemplo, a provedora britânica de soluções de folha de pagamento e RH Zellis disse ao BleepingComputer que sofreu uma violação de dados devido a esses ataques, um incidente que provavelmente afetará alguns de seus clientes.
Alguns de seus clientes afetados incluem a British Airways (companhia aérea do Reino Unido), Aer Lingus (companhia aérea irlandesa) e o Departamento de Educação de Minnesota.
Para intensificar ainda mais a situação, o Clop ameaçou recentemente as organizações afetadas, instando-as a iniciar negociações de resgate para evitar o vazamento público de seus dados.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...