Исследователи безопасности бьют тревогу после того, как хакеры были уличены в использовании недавно обнаруженной уязвимости в популярном инструменте передачи файлов, используемом тысячами организаций для запуска новой волны массовых атак по краже данных.
Уязвимость затрагивает программное обеспечение управляемой передачи файлов (MFT) MOVEit Transfer, разработанное Ipswitch, дочерней компанией Progress Software из США, которое позволяет организациям обмениваться большими файлами и наборами данных через Интернет. В среду Progress подтвердила, что обнаружила уязвимость в MOVEit Transfer, которая «может привести к эскалации привилегий и потенциальному несанкционированному доступу к среде», и призвала пользователей отключить интернет-трафик в своей среде MOVEit Transfer.
Патчи доступны, и Progress призывает всех клиентов срочно установить их.
Американское агентство кибербезопасности CISA также призывает американские организации следовать шагам Progress по смягчению последствий, применять необходимые обновления и выявлять любые вредоносные действия.
Корпоративные инструменты передачи файлов становятся все более привлекательной мишенью для хакеров, поскольку обнаружение уязвимости в популярной корпоративной системе может привести к краже данных у нескольких жертв.
Джоселин Вервелде, представитель Progress через внешнее агентство по связям с общественностью, отказалась сообщить, сколько организаций используют затронутый инструмент передачи файлов, хотя на веб-сайте компании указано, что это программное обеспечение используется «тысячами организаций по всему миру». Shodan, поисковая система для общедоступных устройств и баз данных, показывает более 2500 серверов MOVEit Transfer, которые можно обнаружить в Интернете, большинство из которых расположены в Соединенных Штатах, а также Великобритания, Германия, Нидерланды и Канада.
Уязвимость также затрагивает клиентов, которые полагаются на облачную платформу MOVEit Transfer. по словам исследователя безопасности Кевина Бомонта. По словам Бомонта, по крайней мере один разоблаченный экземпляр связан с Министерством внутренней безопасности США, и несколько «крупных банков» также считаются клиентами MOVEIt.
Несколько охранных компаний заявляют, что уже обнаружили доказательства эксплуатации.
Mandiant заявил, что проводит расследование «несколько вторжений», связанных с эксплуатацией уязвимости MOVEit. Главный технический директор Mandiant Чарльз Кармакал подтвердил, что Mandiant «видела доказательства кражи данных у нескольких жертв».
Стартап по кибербезопасности Huntress сообщил в своем блоге, что один из его клиентов видел «полную цепочку атак и все соответствующие индикаторы компрометации».
Тем временем исследовательская компания Rapid7 подтвердила, что обнаружила признаки эксплуатации и кражи данных «как минимум в четырех отдельных инцидентах». Кейтлин Кондон, старший менеджер по исследованиям в области безопасности в Rapid7, заявила, что компания получила доказательства того, что злоумышленники, возможно, начали автоматизировать эксплуатацию.
Хотя неясно, когда именно началась эксплуатация, стартап GreyNoise, специализирующийся на анализе угроз, заявил, что уже 3 марта наблюдал активность сканирования и призывает пользователей проверять системы на наличие признаков несанкционированного доступа, которые могли иметь место в течение последних 90 дней.
Пока неизвестно, кто несет ответственность за массовую эксплуатацию серверов MOVEit.
Кондон из Rapid7 сказал TechCrunch, что поведение злоумышленника кажется «скорее оппортунистическим, чем целенаправленным», добавив, что это «может быть работой одного злоумышленника, который без разбора использует один эксплойт для уязвимых целей».
Это последняя попытка хакеров и групп вымогателей атаковать корпоративные системы передачи файлов за последние годы.
В январе связанная с Россией банда вымогателей Clop взяла на себя ответственность за массовую эксплуатацию уязвимость в программном обеспечении Fortra для управляемой передачи файлов GoAnywhere. Нападению подверглись более 130 организаций, использующих GoAnywhere, в том числе компания здравоохранения из Флориды. НацияПреимуществапровайдер виртуальной терапии Яркая линияи город Торонто.
Клоп также стоял за другой широко распространенной атакой на другой популярный инструмент передачи файлов в 2021 году. Банда взломала инструмент обмена файлами Accellion, чтобы начать атаки на ряд организаций, в том числе Морган СтенлиКалифорнийский университет, продуктовый гигант Kroger и юридическая фирма Jones Day.