Language
Opfer der MOVEit SQL-Injection Null
HeimHeim > Nachricht > Opfer der MOVEit SQL-Injection Null
NEUESTEN NACHRICHTEN

Opfer der MOVEit SQL-Injection Null

May 22, 2023

Sergey Nivens – stock.adobe.com

Mehrere Organisationen melden sich nun und geben bekannt, dass sie von Cyberangriffen betroffen waren, die von einer kürzlich entdeckten Schwachstelle im MOVEit-Dateiübertragungsprodukt von Progress Software ausgehen, die in großem Umfang ausgenutzt wird, auch von Ransomware-Betreibern.

In den letzten 24 Stunden haben Organisationen wie die BBC, Boots und British Airways (BA) alle bestätigt, dass sie betroffen waren, wobei die BBC den Mitarbeitern mitteilte, dass bei dem Vorfall Ausweisnummern, Geburtsdaten, Privatadressen und Sozialversicherungsnummern kompromittiert wurden . Den BA-Mitarbeitern wurde außerdem mitgeteilt, dass ihre Bankdaten möglicherweise gestohlen wurden.

Im Fall von BA und anderen begann der Vorfall über die Systeme von Zellis, einem Anbieter von IT-Dienstleistungen für Gehaltsabrechnungs- und Personalabteilungen. Ein Zellis-Sprecher bestätigte, dass eine „kleine Anzahl“ der Kunden des Unternehmens betroffen sei.

„Die gesamte Zellis-eigene Software bleibt davon unberührt und es gibt keine damit verbundenen Vorfälle oder Beeinträchtigungen anderer Teile unseres IT-Bestands“, sagte der Sprecher.

„Als wir auf diesen Vorfall aufmerksam wurden, haben wir sofort Maßnahmen ergriffen, den Server, der die MOVEit-Software verwendet, abgeschaltet und ein externes Expertenteam für die Reaktion auf Sicherheitsvorfälle beauftragt, das uns bei der forensischen Analyse und der laufenden Überwachung unterstützt“, fügten sie hinzu.

Zellis sagte, es habe die zuständigen Behörden sowohl im Vereinigten Königreich als auch in Irland benachrichtigt, darunter das Information Commissioner's Office (ICO) und die Irish Data Protection Commission (DPC).

Ein BA-Sprecher sagte: „Wir wurden darüber informiert, dass wir eines der Unternehmen sind, die von Zellis‘ Cybersicherheitsvorfall betroffen sind, der über einen ihrer Drittanbieter namens MOVEit stattfand. Zellis bietet Hunderten von Unternehmen im Vereinigten Königreich Dienstleistungen zur Gehaltsabrechnung an. von denen wir einer sind.

„Dieser Vorfall ereignete sich aufgrund einer neuen und bisher unbekannten Schwachstelle in einem weit verbreiteten MOVEit-Dateiübertragungstool. Wir haben die Kollegen, deren persönliche Daten kompromittiert wurden, benachrichtigt, um ihnen Unterstützung und Rat zu geben.“

Es wird davon ausgegangen, dass die Muttergesellschaft von BA, IAG, daran arbeitet, die möglicherweise Betroffenen zu unterstützen, und sie hat den Vorfall auch aus eigenem Antrieb dem ICO gemeldet.

Ein Sprecher des britischen National Cyber ​​Security Centre (NCSC) sagte, dass die Behörde die Situation genau beobachte.

„Wir arbeiten daran, die Auswirkungen in Großbritannien vollständig zu verstehen, nachdem Berichte über die Ausnutzung einer kritischen Sicherheitslücke in der MOVEit Transfer-Software gemeldet wurden“, sagten sie. „Das NCSC empfiehlt Unternehmen dringend, sofort Maßnahmen zu ergreifen, indem sie die Best-Practice-Ratschläge der Anbieter befolgen und die empfohlenen Sicherheitsupdates anwenden.“

Das Softwareprodukt MOVEit Managed File Transfer (MFT) wurde ursprünglich Anfang der 2000er Jahre von einem Unternehmen namens Standard Networks entwickelt und veröffentlicht. Dieses Unternehmen wurde anschließend vom Netzwerksoftwarespezialisten Ipswitch übernommen, der seinerseits 2019 von Progress aufgekauft wurde.

Am Mittwoch, den 31. Mai 2023, gab Progress bekannt, dass es eine kritische Schwachstelle in MOVEit entdeckt und behoben hat, die sich auf alle Benutzer des MOVEit-Übertragungsprodukts auswirkt.

Bei dem als CVE-2023-34362 verfolgten Fehler handelt es sich um eine SQL-Injection-Schwachstelle, die es einem nicht authentifizierten Akteur ermöglichen könnte, auf die MOVEit Transfer-Datenbank des Benutzers zuzugreifen – je nachdem, ob er MySQL, Microsoft SQL Server oder Azure SQL als Datenbank-Engine verwendet oder nicht – Informationen über den Inhalt der Datenbank ableiten und SQL-Anweisungen ausführen, die Elemente davon ändern oder löschen.

Mehrere Sicherheitsfirmen haben in der vergangenen Woche die Ausnutzung von CVE-2023-34362 verfolgt, darunter Microsoft, Mandiant und Rapid7.

Microsoft sagte, es sei bereit, Angriffe, die die Schwachstelle ausnutzen, einem Bedrohungsakteur zuzuschreiben, den es derzeit als Lace Tempest verfolgt, einem Ransomware-Betreiber, der vor allem für die Ausführung der Clop-Operation (auch bekannt als Cl0p) bekannt ist.

Cl0p ist ein besonders bösartiger Ransomware-Typ, dessen Betreiber bekanntermaßen eine besondere Vorliebe für Probleme haben, die Dateiübertragungsprozesse betreffen. Anfang des Jahres standen sie hinter einer Flut von Angriffen, die eine Schwachstelle im MFT-Tool Fortra GoAnywhere ausnutzten, um die Systeme von mehr als 90 Opfern anzugreifen, darunter das Speicher- und Sicherheitsunternehmen Rubrik.

Mandiant sagte, es habe auch beobachtet, dass mindestens ein Akteur, der mit Clop in Verbindung steht, nach Partnern für die Arbeit an SQL-Injection-Schwachstellen suche, dass man jedoch nicht über genügend Beweise verfüge, um einen Zusammenhang zwischen Aktivitäten im Zusammenhang mit der MOVEit-Schwachstelle und der Ransomware-Bande festzustellen. Die Analysten gehen davon aus, dass in den kommenden Wochen noch mehr Opfer Lösegeldforderungen erhalten werden.

Rapid7 sagte, dass das bei der Ausnutzung von CVE-2023-34362 beobachtete Verhalten überwiegend opportunistisch und nicht gezielt sei.

Seine Analysten sagten: „Die Einheitlichkeit der Artefakte, die wir sehen, könnte plausibel das Werk eines einzelnen Bedrohungsakteurs sein, der einen Exploit wahllos auf exponierte Ziele wirft.“

Ein Sprecher von MOVEit sagte: „Unsere Kunden waren und bleiben unsere oberste Priorität. Als wir die Schwachstelle entdeckten, leiteten wir umgehend eine Untersuchung ein, machten MOVEit-Kunden auf das Problem aufmerksam und sorgten für sofortige Abhilfemaßnahmen. Wir haben den Webzugriff deaktiviert.“ MOVEit Cloud hat zum Schutz unserer Cloud-Kunden einen Sicherheitspatch zur Behebung der Schwachstelle entwickelt, ihn unseren MOVEit Transfer-Kunden zur Verfügung gestellt und MOVEit Cloud gepatcht und wieder aktiviert – und das alles innerhalb von 48 Stunden. Wir haben auch eine Reihe von Drittanbietern implementiert Validierungen, um sicherzustellen, dass der Patch den Exploit behoben hat. „Wir arbeiten weiterhin mit branchenführenden Cybersicherheitsexperten zusammen, um das Problem zu untersuchen und sicherzustellen, dass wir alle geeigneten Gegenmaßnahmen ergreifen.“ Wir haben im Hinblick auf die Sicherheitslücke mit den Strafverfolgungsbehörden des Bundes und anderen Behörden zusammengearbeitet. Wir sind außerdem bestrebt, eine führende und kooperative Rolle bei den branchenweiten Bemühungen zur Bekämpfung immer raffinierterer und hartnäckigerer Cyberkrimineller zu spielen, die Schwachstellen in weit verbreiteten Softwareprodukten böswillig ausnutzen wollen. Weitere Details finden Sie in unseren Wissensdatenbankartikeln für MOVEit Transfer und MOVEit Cloud.

Toby Lewis, Leiter der Bedrohungsanalyse bei Darktrace, sagte, dass CVE-2023-34362 zwar offenbar keinen ausreichenden Zugriff für die direkte Bereitstellung von Ransomware bietet und es einem Angreifer auch nicht erlaubt, sich seitlich durch das Netzwerk des Opfers zu bewegen, es aber trotzdem möglich sei, dass es zu einem Angriff kommt Verwendung an einen Operator wie Clop.

„Wenn sensibles Material über MOVEit übertragen wird, kann dieser Exploit Unternehmen der Gefahr von Erpressung und der Gefahr der Veröffentlichung gestohlener Daten aussetzen“, sagte er.

„Zellis ist nur ein Kunde von MOVEit und es werden wahrscheinlich auch andere Organisationen betroffen sein, die noch nicht bekannt gegeben wurden. Zellis wird wahrscheinlich Opfer opportunistischer Scans und Ausbeutungen geworden sein; dies kann sich über mehrere Wochen hinweg ereignet haben, auch wenn dies der Fall war.“ „Der Vorfall wurde erst letzte Woche öffentlich bekannt gegeben. Dieser Vorfall scheint sich auf Datendiebstahl von Kunden der MOVEit-Plattform zu beschränken“, sagte er.

Rick Holland, CISO von ReliaQuest, sagte, der Vorfall befinde sich noch im Anfangsstadium und es werde einige Zeit dauern, bis er sich abspielt.

„Die Zahl der Opfer dieser aktuellen Kampagne bleibt abzuwarten, aber jede Organisation, die die anfälligen MOVEit-Lösungen dem Internet zur Verfügung gestellt hat, muss von einem Verstoß ausgehen“, sagte Holland in per E-Mail gesendeten Kommentaren gegenüber Computer Weekly.

„Wie wir bei anderen Sicherheitslücken gesehen haben, kommt es zu einem Aufruhr, sobald die Sicherheitslücke öffentlich bekannt wird. Wenn Clop MOVEit nicht kompromittiert hätte, könnten andere Bedrohungsakteure dies getan haben. Organisationen, die keine Lösegeldforderung erhalten haben, sollten nicht davon ausgehen, dass sie infiziert sind.“ Das Klare.

„Die Bedrohungsgruppe hat wahrscheinlich so viele Organisationen kompromittiert, dass es einige Zeit dauern kann, bis sie die Opferwarteschlange durchgearbeitet haben“, fügte er hinzu.

Dieser Artikel wurde am Mittwoch, 7. Juni, um 14:20 Uhr bearbeitet, um eine Erklärung von MOVEit aufzunehmen

1. Juni: 5. Juni: