微軟指出MOVEit Transfer零時差攻擊由Clop勒索集團黑客主使

MFT文件共享系統(tǒng)MOVEit Transfer存在零時差漏洞CVE-2023-34362，而多家安全公司皆已發(fā)出警告，提醒用戶已經(jīng)有黑客利用MOVEit Transfer漏洞展開攻擊，而微軟經(jīng)過調查，認為MOVEit Transfer漏洞攻擊，與之前操作勒索軟件和運行Clop勒索網(wǎng)站的黑客Lace Tempest有關。

MOVEit Transfer是美國軟件公司Progress子公司Ipswitch，所開發(fā)的MFT文件共享系統(tǒng)，供企業(yè)安全地傳輸文件。Progress在6月2日的時候發(fā)出資訊安全通知，警告用戶他們在MOVEit Transfer發(fā)現(xiàn)編號為CVE-2023-34362的SQL注入漏洞，可讓黑客執(zhí)行特權提升，在未經(jīng)授權的情況下訪問環(huán)境。

CVE-2023-34362漏洞允許未經(jīng)身份驗證的攻擊者，訪問MOVEit Transfer數(shù)據(jù)庫，而依據(jù)用戶所使用的MySQL、Microsoft SQL Server或Azure SQL數(shù)據(jù)庫引擎，攻擊者或能推斷出數(shù)據(jù)結構和內容等資訊，并執(zhí)行更改或是刪除數(shù)據(jù)庫運算的SQL語句。

目前黑客已經(jīng)開始利用CVE-2023-34362漏洞發(fā)動攻擊，而微軟在推特發(fā)文表示，他們認為CVE-2023-34362的攻擊，與知名黑客Lace Tempest有關，因為過去Lace Tempest也曾使用類似的漏洞，竊取資料并且勒索受害者。

所有MOVEit Transfer版本均受此漏洞影響，Progress給出了一些緩解建議，包括用戶可以停用MOVEit Transfer環(huán)境中的所有HTTP和HTTPs流量，借由修改防火墻規(guī)則，拒絕連接端口80和443上MOVEit Transfer的HTTP和HTTPs流量，直到安裝完修補程序。Progress官方也提醒用戶應該要檢查并且刪除未經(jīng)授權的文件和用戶賬戶，同時查看日志記錄，尋找是否存在未經(jīng)授權的訪問。

文章轉載自十輪網(wǎng)