MOVEit 爆第三个 0day，美国多个联邦机构等受影响

今天，网络披露称 MOVEit Transfer 中出现一个新的 SQL 注入漏洞，因此Progress 公司提醒客户限制对环境的所有 HTTP 访问。该公司表示，该漏洞无补丁，不过正在测试并将在“不久”后发布。该漏洞也未获得CVE编号。

Progress 公司指出，“Progress 在MOVEit Transfer 中发现了一个漏洞，可导致提权和对该环境的潜在越权访问。鉴于新发布的漏洞，我们已经下架 MOVEit Cloud 的所有 HTTPs 流量，并正在要求所有的 MOVEit Transfer 客户立即阻止对环境的 HTTP 和 HTTPS 流量，在补丁发布前保护环境安全。”

在发布受影响 MOVEit Transfer 版本的安全更新前，Progress “强烈”建议修改防火墙规则，拒绝端口80和443上的 MOVEit Transfer 的 HTTP 和 HTTPs 流量，作为临时缓解措施。

即使用户不再能够通过 web UI 登录账户，但由于 SFTP 和 FTP/s 协议将继续正常运作，因此文件传输仍然可用。管理员也可通过远程桌面通过 https://localhost/ 连接至 Windows 服务器来访问 MOVEit Transfer。

虽然 Progress 公司并未分享该 SQLi 漏洞的详情在何处被分享，但至少有一名安全研究员在分享了看似是 MOVEit Transfer 0day 漏洞的 PoC 利用代码。该研究员表示他们认为 Progress 发布的提醒与他们正在准备的 PoC 有关。另外该漏洞是由 Huntress 公司的高级安全研究员 John Hammond 披露给 Progress 的，这也可能促使该公司发布提醒。

上周五，Progress 公司发布另一份安全公告披露了多个严重的 SQL 注入漏洞，它们获得统一的CVE编号CVE-2023-35036。这些漏洞是在5月31日的一次安全审计中发现的，而当时 Progress 公司发布公告称CVE-2023-34362被 Cl0p 勒索组织用于盗取数据。CVE-2023-35036 影响所有的 MOVEit Transfer 版本，且可导致未认证攻击者攻陷未修复和遭暴露的服务器以窃取客户信息。Cl0p 勒索团伙声称为 CVE-2023-34362 攻击负责并提到已经攻陷了“数百家公司”的 MOVEit 服务器。

Kroll 还发现 Cl0p 勒索团伙早在2021年就已经在测试现已修复的 MOVEit 0day 漏洞的利用，而且最早在2022年4月就从受陷的 MOVEit 服务器中提取被盗数据。

Cl0p 勒索团伙与其它针对文件传输管理平台的受影响广泛的攻击活动有关，包括2020年12月 Accellion FTA 服务器被攻陷，2021年 SolarWinds Serv-U Managed File Transfer 遭攻击，以及2023年1月 GoAnywhere MFT 服务器遭广泛利用。

受影响机构遭勒索

本周三，Cl0p勒索团伙已经开始勒索受 MOVEit 数据盗取攻击影响的组织机构，将其名称列入暗网数据泄露网站。

其中五个所列企业已证实受攻击影响。这些企业是英国跨国油气公司壳牌、佐治亚大学、UnitedHealthcare Student Resources (UHSR) 保险公司、Heidelberger Druck（海德堡印刷机公司）以及 Landal Greenparks 酒店等。其它披露已受影响的组织机构包括 Zellis（及其客户 BBC、Boots、Aer Lingus和爱尔兰的 HSE）、Ofcam、新斯科舍省政府、美国密苏里州、美国伊利诺伊州、罗切斯特大学、美国内科医学委员会、安大略省 BORN以及 Extreme Networks。

今天，CNN报道称，美国网络安全和基础设施安全局 (CISA) 也披露称美国多家联邦机构也受攻陷。联邦新闻网媒体报道称，美国能源部的两家实体也受攻陷。

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~