Compromessa l’applicazione MOVEit Transfer: l’infezione sta provocando effetti devastanti su molte aziende in tutto il mondo (e sui propri clienti)!
Alla fine di maggio è stato scoperto che i criminali associati alla banda di ransomware Clop utilizzavano un exploit zero-day (vulnerabilità non nota) per entrare nei server che eseguono il front-end Web del prodotto MOVEit: sfruttando la vulnerabilità critica CVE-2023-34362 (rating di criticità 9.8 su una scala di gravità con valore massimo 10), i criminali informatici hanno inviato comandi di database SQL deliberatamente malformati verso un server MOVEit Transfer tramite il suo portale Web (esposto in internet). Ciò ha consentito agli attaccanti di ottenere l’accesso alle tabelle del database dell’applicazione senza bisogno di una password.
I ricercatori hanno scoperto migliaia di istanze di MOVEit Transfer pubblicamente accessibili su Internet, di cui una parte significativa si trova negli Stati Uniti e in Canada: la software house americana, con sede nel Massachusetts, ha rilasciato aggiornamenti di sicurezza per correggere la vulnerabilità di SQL injection nell’applicazione, ha condiviso gli indicatori di compromissione (IoC) per questo attacco e ha prontamente sollecitato i clienti che accertano di essere vulnerabili a contattare immediatamente i suoi team di sicurezza e IT.
Fonte: https://securityaffairs.com/147299/security/new-moveit-transfer-sql-inj.html
Un’altra vulnerabilità critica è stata in seguito scoperta dal produttore stesso del software: il bug, tracciato come CVE-2023-36934 (punteggio di criticità CVSS di 9,8 su 10), potrebbe consentire agli attaccanti di aggirare (remotamente) l’autenticazione sui sistemi interessati ed eseguire codice arbitrario. La vulnerabilità, all’interno del file human.aspx., potrebbe consentire ad un utente malintenzionato di attivare l’esecuzione di query SQL per eseguire codice malevolo.
L’attacco sferrato sull’applicazione sta avendo impatti rilevanti su diverse aziende che utilizzano MOVEit per il trasferimento e la condivisione dei file: l’elenco delle vittime di attacchi ransomware che sfruttano il MOVEit Transfer zero-day comprende, tra gi altri, il Dipartimento dell’Energia degli Stati Uniti, British Airways, Boots, BBC, Aer Lingus, Ofcom, Shell, University of Rochester e Gen Digital, Air Canada.
L’elenco delle vittime di attacchi informatici MOVEit è in continua crescita, e le ultime informazioni riguardano veri e propri giganti di livello internazionale:
- Schneider Electric e Siemens Energy, tra i più grandi produttori di sistemi di controllo industriale utilizzati nelle infrastrutture nazionali critiche in tutto il mondo, sono alle prese con gravi problemi di violazione dei dati
Fonte: https://securityaffairs.com/147865/data-breach/schneider-electric-siemens-energy-moveit.html
- Sessantadue clienti di Ernst & Young ora compaiono sui siti di fuga di dati del gruppo ransomware Clop: 3 terabyte di informazioni critiche relative ai clienti di Ernst & Young, inclusi rapporti finanziari e documenti contabili nelle cartelle dei clienti, scansioni di passaporti, scansioni Visa, documenti di gestione del rischio e patrimoniale, contratti e molto altro ancora
L’onda lunga dell’attacco a MOVEit Transfer non sembra fermarsi: quanto accaduto è un perfetto esempio di come le conseguenze dello sfruttamento di una vulnerabilità di un’applicazione possano avere effetti devastanti su larga scala, ed interessare anche realtà molto strutturate in termini di governance e tecnologia a supporto della cyber security e tecnologia.
La gravità di quanto accaduto ha convinto il governo degli Stati Uniti ad offrire una taglia fino a 10 milioni di dollari per informazioni che collegano CL0P Ransomware Gang o qualsiasi altro attore di minacce che prendono di mira le infrastrutture critiche del paese e attentano alla sicurezza nazionale.