身份验证漏洞的新威胁

漏洞始终给企业和机构带来重大风险。

许多系统管理员可能还记得去年的CVE-2023-34362 ，Progress MOVEit Transfer 中的一个灾难性漏洞震惊了整个行业，影响了 BBC 和 FBI 等知名受害者。

cl0p勒索软件团伙利用0day漏洞窃取数据，敏感数据被泄露和破坏，最终留下一片混乱。

今天，一个新的威胁出现了：CVE-2024-5806 漏洞。

CVE-2023-34362

CVE-2023-34362 

https://nvd.nist.gov/vuln/detail/CVE-2023-3436

是影响 Progress MOVEit Transfer（一种广泛使用的安全文件传输软件）的最严重漏洞之一。

该漏洞于 2023 年发现并披露，对包括 BBC 和 FBI 在内的多个知名组织产生了重大影响。 

CVE-2023-34362描述

CVE-2023-34362 是一个归类为“远程代码执行”(RCE) 的漏洞。

此类漏洞允许远程攻击者无需身份验证即可在目标系统上执行任意代码。

在 CVE-2023-34362 的具体情况中，该缺陷在于 MOVEit Transfer 软件对 HTTP 请求的处理不充分。

CVE-2023-34362利用机制

该漏洞可以通过向 MOVEit Transfer 服务器发送特制的 HTTP 请求来利用。

这些恶意请求能够绕过安全控制并利用服务器执行进程的权限执行任意命令。

此类攻击可用于安装恶意软件、窃取数据或进一步危害组织的内部网络。

CVE-2023-34362 造成的冲击和损坏

CVE-2023-34362 的影响是毁灭性的。

该漏洞被cl0p勒索软件团伙利用，利用该漏洞进行大规模攻击。

攻击的后果包括：

1. 敏感数据被盗：许多组织（包括 BBC 和 FBI）的高度敏感和机密数据被盗。

2. 数据破坏：一些受损的数据被破坏，造成重大损失。

3. 服务中断：许多组织的运营受到干扰，造成中断和经济损失。

Progress MOVEit Transfer 上的新安全漏洞

最近，Progress MOVEit Transfer 中发现了一个新漏洞，分类号为 CVE-2024-5806。

此漏洞已被标记为“不正确的身份验证”漏洞 (CWE-287)。

这个问题允许攻击者绕过身份验证机制并获得对敏感数据的未经授权的访问。

此类漏洞尤其令人担忧，因为它可被利用来严重损害数据安全。

更多详细信息：

https://nvd.nist.gov/vuln/detail/CVE-2024-5806

该漏洞的概念验证 (POC) 的可用性

为了进一步加剧这种情况， CVE-2024-5806 的漏洞利用概念验证 (POC)已经出现。

拥有 POC 意味着攻击者拥有如何利用该漏洞的有效示例，从而增加了真正攻击的风险。 

POC可以作为开发更复杂、更有针对性的攻击工具的基础，使该漏洞成为迫在眉睫的威胁。

cl0p 发起新攻击的风险

考虑到最近的历史，出现了一个问题：cl0p 勒索软件攻击者是否会再次利用此漏洞？

以利用 CVE-2023-34362 漏洞进行毁灭性攻击而闻名的 cl0p 团伙可能会在 CVE-2024-5806 中看到新的机会。

凭借其经过验证的记录和 POC 的可用性，cl0p 或类似团体可能会尝试利用这一新的安全漏洞，风险很高。

cl0p 勒索软件团伙

Cl0p是网络安全领域最令人恐惧和最复杂的勒索软件团伙之一。

该犯罪团伙以使用先进技术和关键漏洞（例如 Progress MOVEit Transfer 中的 CVE-2023-34362）对众多知名组织进行毁灭性攻击而闻名。

人们普遍认为 Cl0p 勒索软件起源于俄罗斯或前苏联国家。

有证据表明，该组织的成员讲俄语，并在与该地区兼容的时区开展活动。

与许多网络犯罪活动一样，团体成员的确切地理位置可能很难确定。

技术、策略和程序 (TTP)

Cl0p 勒索软件团伙使用一套高度复杂的技术、策略和程序来进行攻击。

以下是与该组织相关的主要 TTP：

1. 利用零日漏洞：众所周知，Cl0p 会利用尚未公开披露的（零日）漏洞来渗透受害者的系统。相关示例是 CVE-2023-34362 in Progress MOVEit Transfer。

2. 网络钓鱼和鱼叉式网络钓鱼：使用有针对性的网络钓鱼活动来获得对系统的初始访问权限，通常发送看似合法但包含恶意链接或附件的电子邮件。

3. 横向移动：一旦 Cl0p 获得网络访问权限，它就会横向移动以危害其他系统，使用 Mimikatz 等工具提取凭据并获得特权访问。

4. 数据泄露：在加密数据之前，该组织会泄露敏感信息，并利用这些信息作为杠杆，通过威胁发布被盗数据来勒索进一步付款。

5. 双重勒索：Cl0p 实施双重勒索，要求支付赎金来解密文件并防止泄露的数据被公开。

6. 勒索软件部署：最后，Cl0p 在受感染的网络上部署勒索软件，对文件进行加密，并使其在支付赎金之前无法访问。

Progress MOVEit Transfer 中发现的 CVE-2024-5806 漏洞对企业信息安全构成严重风险。

针对该漏洞的 POC 的存在进一步增加了威胁，因此组织必须立即采取预防措施。不能排除 cl0p 勒索软件组织利用这一新漏洞的可能性，因此保持警惕和做好准备就显得更加重要。

网络安全是一场持续的战斗，只有通过预防和快速响应，企业才能保护其最宝贵的资产：数据。

原文始发于微信公众号（网络研究观）：身份验证漏洞的新威胁