微軟指出MOVEit Transfer零時差攻擊由Clop勒索集團(tuán)黑客主使

MFT文件共享系統(tǒng)MOVEit Transfer存在零時差漏洞CVE-2023-34362，而多家安全公司皆已發(fā)出警告，提醒用戶已經(jīng)有黑客利用MOVEit Transfer漏洞展開攻擊，而微軟經(jīng)過調(diào)查，認(rèn)為MOVEit Transfer漏洞攻擊，與之前操作勒索軟件和運(yùn)行Clop勒索網(wǎng)站的黑客Lace Tempest有關(guān)。

MOVEit Transfer是美國軟件公司Progress子公司Ipswitch，所開發(fā)的MFT文件共享系統(tǒng)，供企業(yè)安全地傳輸文件。Progress在6月2日的時候發(fā)出資訊安全通知，警告用戶他們在MOVEit Transfer發(fā)現(xiàn)編號為CVE-2023-34362的SQL注入漏洞，可讓黑客執(zhí)行特權(quán)提升，在未經(jīng)授權(quán)的情況下訪問環(huán)境。

CVE-2023-34362漏洞允許未經(jīng)身份驗(yàn)證的攻擊者，訪問MOVEit Transfer數(shù)據(jù)庫，而依據(jù)用戶所使用的MySQL、Microsoft SQL Server或Azure SQL數(shù)據(jù)庫引擎，攻擊者或能推斷出數(shù)據(jù)結(jié)構(gòu)和內(nèi)容等資訊，并執(zhí)行更改或是刪除數(shù)據(jù)庫運(yùn)算的SQL語句。

目前黑客已經(jīng)開始利用CVE-2023-34362漏洞發(fā)動攻擊，而微軟在推特發(fā)文表示，他們認(rèn)為CVE-2023-34362的攻擊，與知名黑客Lace Tempest有關(guān)，因?yàn)檫^去Lace Tempest也曾使用類似的漏洞，竊取資料并且勒索受害者。

所有MOVEit Transfer版本均受此漏洞影響，Progress給出了一些緩解建議，包括用戶可以停用MOVEit Transfer環(huán)境中的所有HTTP和HTTPs流量，借由修改防火墻規(guī)則，拒絕連接端口80和443上MOVEit Transfer的HTTP和HTTPs流量，直到安裝完修補(bǔ)程序。Progress官方也提醒用戶應(yīng)該要檢查并且刪除未經(jīng)授權(quán)的文件和用戶賬戶，同時查看日志記錄，尋找是否存在未經(jīng)授權(quán)的訪問。

文章轉(zhuǎn)載自十輪網(wǎng)