En 400-6655-581
5
返回列表
> 資源中心 > 文章>榮譽(yù)&資訊> 微軟指出MOVEit Transfer零時(shí)差攻擊由Clop勒索集團(tuán)黑客主使

微軟指出MOVEit Transfer零時(shí)差攻擊由Clop勒索集團(tuán)黑客主使

文章

2023-06-07瀏覽次數(shù):351

MFT文件共享系統(tǒng)MOVEit Transfer存在零時(shí)差漏洞CVE-2023-34362,而多家安全公司皆已發(fā)出警告,提醒用戶已經(jīng)有黑客利用MOVEit Transfer漏洞展開攻擊,而微軟經(jīng)過(guò)調(diào)查,認(rèn)為MOVEit Transfer漏洞攻擊,與之前操作勒索軟件和運(yùn)行Clop勒索網(wǎng)站的黑客Lace Tempest有關(guān)。


MOVEit Transfer是美國(guó)軟件公司Progress子公司Ipswitch,所開發(fā)的MFT文件共享系統(tǒng),供企業(yè)安全地傳輸文件。Progress在6月2日的時(shí)候發(fā)出資訊安全通知,警告用戶他們?cè)贛OVEit Transfer發(fā)現(xiàn)編號(hào)為CVE-2023-34362的SQL注入漏洞,可讓黑客執(zhí)行特權(quán)提升,在未經(jīng)授權(quán)的情況下訪問環(huán)境。

 

CVE-2023-34362漏洞允許未經(jīng)身份驗(yàn)證的攻擊者,訪問MOVEit Transfer數(shù)據(jù)庫(kù),而依據(jù)用戶所使用的MySQL、Microsoft SQL Server或Azure SQL數(shù)據(jù)庫(kù)引擎,攻擊者或能推斷出數(shù)據(jù)結(jié)構(gòu)和內(nèi)容等資訊,并執(zhí)行更改或是刪除數(shù)據(jù)庫(kù)運(yùn)算的SQL語(yǔ)句。

 

目前黑客已經(jīng)開始利用CVE-2023-34362漏洞發(fā)動(dòng)攻擊,而微軟在推特發(fā)文表示,他們認(rèn)為CVE-2023-34362的攻擊,與知名黑客Lace Tempest有關(guān),因?yàn)檫^(guò)去Lace Tempest也曾使用類似的漏洞,竊取資料并且勒索受害者。

 

所有MOVEit Transfer版本均受此漏洞影響,Progress給出了一些緩解建議,包括用戶可以停用MOVEit Transfer環(huán)境中的所有HTTP和HTTPs流量,借由修改防火墻規(guī)則,拒絕連接端口80和443上MOVEit Transfer的HTTP和HTTPs流量,直到安裝完修補(bǔ)程序。Progress官方也提醒用戶應(yīng)該要檢查并且刪除未經(jīng)授權(quán)的文件和用戶賬戶,同時(shí)查看日志記錄,尋找是否存在未經(jīng)授權(quán)的訪問。

 

文章轉(zhuǎn)載自十輪網(wǎng)