Progress Software heeft een nieuw beveiligingslek in de MOVEit Transfer app onthuld. Dit is de derde ontdekte fout. De cybercriminele bende Cl0p heeft deze kwetsbaarheid misbruikt om getroffen bedrijven af te persen.

Deze nieuw ontdekte fout, die momenteel geen CVE-identificatie heeft, heeft te maken met een SQL-injectiekwetsbaarheid. Misbruik maken van deze kwetsbaarheid kan leiden tot verhoogde rechten en ongeautoriseerde toegang tot het systeem.

Om hun omgevingen te beschermen totdat er een fix beschikbaar is, adviseert Progress Software klanten om al het HTTP- en HTTPs-verkeer op poorten 80 en 443 voor MOVEit Transfer uit te schakelen. Het bedrijf werkt actief aan een patch om deze zwakke plek te verhelpen. De oplossing voor bestandsoverdracht in de cloud is al volledig gepatcht.

Deze onthulling volgt op de eerdere aankondiging van Progress Software van SQL-injectiekwetsbaarheden (CVE-2023-35036). Deze kwetsbaarheden kunnen worden misbruikt om toegang te krijgen tot de database-inhoud van de getroffen applicatie.

De nieuw ontdekte kwetsbaarheden zijn een aanvulling op CVE-2023-34362, die de Clop ransomware bende misbruikte als een zero-day in gegevensdiefstal aanvallen. Kroll, een beveiligingsbedrijf, rapporteerde dat bewijs aangeeft dat de Clop-bende, door Microsoft ook wel Lace Tempest genoemd, deze exploit al sinds juli 2021 aan het testen was.

Lees ook: “BatCloak Engine: Niet-opspoorbare malware van cybercriminelen”.

Gelijktijdig met deze ontwikkeling publiceerden de Cl0p-actoren een lijst op hun darknet-lekportaal, waarop 27 gehackte bedrijven stonden die volgens hen waren gecompromitteerd met behulp van de MOVEit Transfer-kwetsbaarheid. Onder de slachtoffers zijn meerdere Amerikaanse federale agentschappen, waaronder het ministerie van Energie, zoals CNN meldde.

“Het aantal mogelijk geschonden organisaties is tot nu toe aanzienlijk hoger dan het aanvankelijke aantal dat werd genoemd in Clops vorige MFT-exploitatiecampagne waarbij de Fortra GoAnywhere MFT betrokken was”, aldus ReliaQuest.

Volgens Censys, een webgebaseerd zoekplatform, behoort ongeveer 31% van de blootgestelde hosts die MOVEit uitvoeren tot de financiële dienstverleningssector. De gezondheidszorg is goed voor ongeveer 16%, informatietechnologie voor ongeveer 9% en de overheid en de militaire sector voor ongeveer 8%. Het merendeel van deze servers, ongeveer 80%, bevindt zich in de Verenigde Staten.

Op basis van Kaspersky’s analyse van 97 malwarefamilies die tussen 2015 en 2022 via het MaaS-bedrijfsmodel (malware-as-a-service) worden verspreid, heeft ransomware met 58% het grootste aandeel. Informatiedieven volgen met 24%, terwijl botnets, loaders en backdoors goed zijn voor 18% van de verspreiding.

Volgens het Russische cyberbeveiligingsbedrijf is “geld de wortel van alle kwaad, inclusief cybercriminaliteit”. Kaspersky benadrukte ook hoe MaaS-schema’s minder technisch onderlegde aanvallers in staat stellen om deel te nemen, waardoor de drempel voor het uitvoeren van dergelijke aanvallen wordt verlaagd.