Nieuwe fout in MOVEit Transfer App gevonden bij massale Cl0p Ransomware-aanval

Reading Time: ( Word Count: )

June 16, 2023
Nextdoorsec-course

Progress Software heeft een nieuw beveiligingslek in de MOVEit Transfer app onthuld. Dit is de derde ontdekte fout. De cybercriminele bende Cl0p heeft deze kwetsbaarheid misbruikt om getroffen bedrijven af te persen.

Deze nieuw ontdekte fout, die momenteel geen CVE-identificatie heeft, heeft te maken met een SQL-injectiekwetsbaarheid. Misbruik maken van deze kwetsbaarheid kan leiden tot verhoogde rechten en ongeautoriseerde toegang tot het systeem.

Om hun omgevingen te beschermen totdat er een fix beschikbaar is, adviseert Progress Software klanten om al het HTTP- en HTTPs-verkeer op poorten 80 en 443 voor MOVEit Transfer uit te schakelen. Het bedrijf werkt actief aan een patch om deze zwakke plek te verhelpen. De oplossing voor bestandsoverdracht in de cloud is al volledig gepatcht.

Deze onthulling volgt op de eerdere aankondiging van Progress Software van SQL-injectiekwetsbaarheden (CVE-2023-35036). Deze kwetsbaarheden kunnen worden misbruikt om toegang te krijgen tot de database-inhoud van de getroffen applicatie.

De nieuw ontdekte kwetsbaarheden zijn een aanvulling op CVE-2023-34362, die de Clop ransomware bende misbruikte als een zero-day in gegevensdiefstal aanvallen. Kroll, een beveiligingsbedrijf, rapporteerde dat bewijs aangeeft dat de Clop-bende, door Microsoft ook wel Lace Tempest genoemd, deze exploit al sinds juli 2021 aan het testen was.

Fout in overdrachtsapp MOVEit

Lees ook: “BatCloak Engine: Niet-opspoorbare malware van cybercriminelen”.

Gelijktijdig met deze ontwikkeling publiceerden de Cl0p-actoren een lijst op hun darknet-lekportaal, waarop 27 gehackte bedrijven stonden die volgens hen waren gecompromitteerd met behulp van de MOVEit Transfer-kwetsbaarheid. Onder de slachtoffers zijn meerdere Amerikaanse federale agentschappen, waaronder het ministerie van Energie, zoals CNN meldde.

“Het aantal mogelijk geschonden organisaties is tot nu toe aanzienlijk hoger dan het aanvankelijke aantal dat werd genoemd in Clops vorige MFT-exploitatiecampagne waarbij de Fortra GoAnywhere MFT betrokken was”, aldus ReliaQuest.

Volgens Censys, een webgebaseerd zoekplatform, behoort ongeveer 31% van de blootgestelde hosts die MOVEit uitvoeren tot de financiële dienstverleningssector. De gezondheidszorg is goed voor ongeveer 16%, informatietechnologie voor ongeveer 9% en de overheid en de militaire sector voor ongeveer 8%. Het merendeel van deze servers, ongeveer 80%, bevindt zich in de Verenigde Staten.

Op basis van Kaspersky’s analyse van 97 malwarefamilies die tussen 2015 en 2022 via het MaaS-bedrijfsmodel (malware-as-a-service) worden verspreid, heeft ransomware met 58% het grootste aandeel. Informatiedieven volgen met 24%, terwijl botnets, loaders en backdoors goed zijn voor 18% van de verspreiding.

Volgens het Russische cyberbeveiligingsbedrijf is “geld de wortel van alle kwaad, inclusief cybercriminaliteit”. Kaspersky benadrukte ook hoe MaaS-schema’s minder technisch onderlegde aanvallers in staat stellen om deel te nemen, waardoor de drempel voor het uitvoeren van dergelijke aanvallen wordt verlaagd.

Saher Mahmood

Saher Mahmood

Author

Saher is a cybersecurity researcher with a passion for innovative technology and AI. She explores the intersection of AI and cybersecurity to stay ahead of evolving threats.

Other interesting articles

Automated vs Manual Penetration Testing

Automated vs Manual Penetration Testing

Pentesting is largely divided into two methodologies: Automated vs Manual Penetration Testing. Both have ...
8 Steps in Penetration Testing You Should Know

8 Steps in Penetration Testing You Should Know

Mastering the art of penetration testing has become a critical ability for security experts to combat cyber ...
Spear Phishing vs Whaling: What is the Difference

Spear Phishing vs Whaling: What is the Difference

Spear phishing is a particularly devious type of phishing assault in which the individual targeted plays a ...
How Often Should Penetration Testing Be Done

How Often Should Penetration Testing Be Done

Penetration testing is a crucial technique that involves simulating a cyberattack on networks, computer systems, ...
0 Comments

Submit a Comment

Your email address will not be published. Required fields are marked *