Progress Software hat eine neue Sicherheitslücke in der MOVEit Transfer App aufgedeckt, die bereits die dritte Lücke ist, die entdeckt wurde. Die Cl0p-Cyberbande hat diese Schwachstelle ausgenutzt, um die betroffenen Unternehmen zu erpressen.

Diese neu entdeckte Schwachstelle, für die es derzeit noch keine CVE-Kennung gibt, betrifft eine SQL-Injection-Schwachstelle. Die Ausnutzung dieser Schwachstelle kann zu erhöhten Rechten und unberechtigtem Zugriff auf das System führen.

Um ihre Umgebungen zu schützen, bis ein Fix verfügbar ist, rät Progress Software ihren Kunden, den gesamten HTTP- und HTTPs-Datenverkehr auf den Ports 80 und 443 für MOVEit Transfer abzuschalten. Das Unternehmen arbeitet aktiv an einem Patch, um diese Schwachstelle zu beheben. Die Cloud-verwaltete Dateiübertragungslösung ist bereits vollständig gepatcht worden.

Diese Enthüllung folgt auf eine frühere Ankündigung von Progress Software zu SQL-Injection-Schwachstellen (CVE-2023-35036). Diese Schwachstellen könnten ausgenutzt werden, um auf den Datenbankinhalt der betroffenen Anwendung zuzugreifen.

Die neu entdeckten Schwachstellen kommen zu CVE-2023-34362 hinzu, die die Clop-Ransomware-Bande als Zero-Day für Datendiebstahlsangriffe ausnutzte. Das Sicherheitsunternehmen Kroll berichtet, dass es Hinweise darauf gibt, dass die Clop-Gang, die von Microsoft auch als Lace Tempest bezeichnet wird, diesen Exploit seit Juli 2021 getestet hat.

Lesen Sie auch: „BatCloak Engine: Die unerkennbare Malware der Cyberkriminellen“

Zeitgleich mit dieser Entwicklung veröffentlichten die Cl0p-Akteure auf ihrem Darknet-Leak-Portal eine Liste mit 27 gehackten Unternehmen, die angeblich über die MOVEit Transfer-Schwachstelle kompromittiert wurden. Unter den Opfern sind mehrere US-Bundesbehörden, darunter das Energieministerium, wie CNN berichtet.

„Die Anzahl der potenziell angegriffenen Organisationen ist deutlich höher als die ursprüngliche Zahl, die in Clops früherer MFT-Ausbeutungskampagne mit Fortra GoAnywhere MFT genannt wurde“, so ReliaQuest.

Nach Angaben von Censys, einer webbasierten Suchplattform, gehören etwa 31 % der exponierten Hosts, auf denen MOVEit läuft, der Finanzdienstleistungsbranche an. Das Gesundheitswesen macht rund 16 % aus, die Informationstechnologie rund 9 % und der Regierungs- und Militärsektor rund 8 %. Die meisten dieser Server, etwa 80 %, befinden sich in den Vereinigten Staaten.

Basierend auf Kasperskys Analyse von 97 Malware-Familien, die zwischen 2015 und 2022 über das Malware-as-a-Service (MaaS)-Geschäftsmodell verbreitet werden, hält Ransomware mit 58 % den größten Anteil. Informationsdiebe folgen mit 24 %, während Botnets, Loader und Backdoors 18 % der Verbreitung ausmachen.

Laut dem russischen Cybersicherheitsunternehmen ist „Geld die Wurzel allen Übels, auch der Cyberkriminalität“. Kaspersky wies auch darauf hin, dass MaaS-Systeme auch technisch weniger versierten Angreifern die Teilnahme ermöglichen und so die Einstiegshürde für die Durchführung solcher Angriffe senken.