محققان امنیتی پس از دستگیری هکرها در حال سوء استفاده از یک آسیب پذیری جدید کشف شده در ابزار محبوب انتقال فایل که توسط هزاران سازمان برای راه اندازی موج جدیدی از حملات انبوه استخراج داده ها استفاده می شود، زنگ خطر را به صدا در می آورند.
این آسیبپذیری بر نرمافزار انتقال فایل مدیریتشده MOVEit Transfer (MFT) که توسط Ipswitch، یکی از شرکتهای تابعه Progress Software در ایالات متحده توسعه یافته است، تأثیر میگذارد که به سازمانها اجازه میدهد فایلها و مجموعههای داده بزرگ را از طریق اینترنت به اشتراک بگذارند. Progress روز چهارشنبه تایید کرد که آسیبپذیری را در MOVEit Transfer کشف کرده است که «میتواند منجر به افزایش امتیازات و دسترسی غیرمجاز احتمالی به محیط شود» و از کاربران خواست ترافیک اینترنت را در محیط MOVEit Transfer خود غیرفعال کنند.
پچ ها در دسترس هستند و Progress از همه مشتریان می خواهد که فوراً آن را اعمال کنند.
آژانس امنیت سایبری ایالات متحده CISA همچنین از سازمانهای آمریکایی میخواهد که مراحل کاهش پیشرفت را دنبال کنند، بهروزرسانیهای لازم را اعمال کنند و هرگونه فعالیت مخرب را دنبال کنند.
ابزارهای انتقال فایل شرکتی به یک هدف جذاب برای هکرها تبدیل شده اند، زیرا یافتن یک آسیب پذیری در یک سیستم محبوب سازمانی می تواند امکان سرقت داده ها از چندین قربانی را فراهم کند.
Jocelyn VerVelde، سخنگوی Progress از طریق یک آژانس روابط عمومی خارجی، از بیان اینکه چه تعداد سازمان از ابزار انتقال فایل آسیب دیده استفاده می کنند، خودداری کرد، اگرچه وب سایت شرکت بیان می کند که این نرم افزار توسط “هزاران سازمان در سراسر جهان” استفاده می شود. Shodan، یک موتور جستجو برای دستگاهها و پایگاههای داده در معرض عموم، بیش از 2500 سرور MOVEit Transfer قابل کشف در اینترنت را نشان میدهد که اکثر آنها در ایالات متحده و همچنین در ایالات متحده واقع شدهاند. انگلستان، آلمان، هلند و کانادا.
این آسیب پذیری همچنین بر مشتریانی که به پلتفرم ابری MOVEit Transfer متکی هستند، تأثیر می گذارد. به گفته محقق امنیتی کوین بومونت. به گفته Beaumont، حداقل یک نمونه افشا شده به وزارت امنیت داخلی ایالات متحده متصل است و اعتقاد بر این است که چندین “بانک بزرگ” نیز مشتریان MOVEI هستند.
چندین شرکت امنیتی می گویند که قبلاً شواهدی از بهره برداری را مشاهده کرده اند.
Mandiant گفت در حال بررسی است “چند نفوذ” مربوط به بهره برداری از آسیب پذیری MOVEit. چارلز کارماکال، افسر ارشد فناوری Mandiant تأیید کرد که Mandiant “شواهدی از استخراج دادهها در چندین قربانی دیده است.”
استارتآپ امنیت سایبری Huntress در یک پست وبلاگی گفت که یکی از مشتریانش «یک زنجیره حمله کامل و همه شاخصهای منطبق سازش» را دیده است.
در همین حال، شرکت تحقیقاتی امنیتی Rapid7 تأیید کرد که نشانههایی از بهرهبرداری و سرقت دادهها را از «حداقل چهار حادثه جداگانه» مشاهده کرده است. کیتلین کاندون، مدیر ارشد تحقیقات امنیتی در Rapid7، گفت که این شرکت شواهدی را دیده است که نشان میدهد مهاجمان ممکن است بهرهبرداری خودکار را آغاز کرده باشند.
در حالی که مشخص نیست دقیقا چه زمانی بهره برداری آغاز شد، استارتاپ اطلاعاتی تهدید GreyNoise گفت که فعالیت اسکن را در اوایل 3 مارس مشاهده کرده است و از کاربران می خواهد تا سیستم ها را برای هر گونه شاخص دسترسی غیرمجاز که ممکن است در 90 روز گذشته رخ داده است، بررسی کنند.
هنوز مشخص نیست که چه کسی مسئول بهره برداری انبوه از سرورهای MOVEit است.
Condon از Rapid7 به TechCrunch گفت که به نظر می رسد رفتار مهاجم “به جای هدفمند” فرصت طلبانه است، و اضافه کرد که این “می تواند کار یک عامل تهدید کننده باشد که یک سوء استفاده بی رویه به سمت اهداف افشا شده پرتاب می کند.”
این آخرین تلاش هکرها و گروه های اخاذی برای هدف قرار دادن سیستم های انتقال فایل سازمانی در سال های اخیر است.
در ژانویه، باند باج افزار Clop مرتبط با روسیه مسئولیت بهره برداری انبوه از یک آسیب پذیری در نرم افزار انتقال فایل مدیریت شده GoAnywhere Fortra. بیش از 130 سازمان از GoAnywhere مورد هدف قرار گرفتند، از جمله شرکت مراقبت های بهداشتی مستقر در فلوریدا NationBenefits، ارائه دهنده مجازی درمانی خط روشنو شهر تورنتو
Clop همچنین پشت حمله گسترده دیگری به یکی دیگر از ابزارهای محبوب انتقال فایل در سال 2021 بود. این باند ابزار اشتراک فایل Accellion را برای حمله به تعدادی از سازمانها، از جمله مورگان استنلی، دانشگاه کالیفرنیا، غول مواد غذایی کروگر و شرکت حقوقی جونز دی.