MFT文件共享系統(tǒng)MOVEit Transfer存在零時差漏洞CVE-2023-34362,而多家安全公司皆已發(fā)出警告,提醒用戶已經(jīng)有黑客利用MOVEit Transfer漏洞展開攻擊,而微軟經(jīng)過調(diào)查,認為MOVEit Transfer漏洞攻擊,與之前操作勒索軟件和運行Clop勒索網(wǎng)站的黑客Lace Tempest有關(guān)。
MOVEit Transfer是美國軟件公司Progress子公司Ipswitch,所開發(fā)的MFT文件共享系統(tǒng),供企業(yè)安全地傳輸文件。Progress在6月2日的時候發(fā)出資訊安全通知,警告用戶他們在MOVEit Transfer發(fā)現(xiàn)編號為CVE-2023-34362的SQL注入漏洞,可讓黑客執(zhí)行特權(quán)提升,在未經(jīng)授權(quán)的情況下訪問環(huán)境。
CVE-2023-34362漏洞允許未經(jīng)身份驗證的攻擊者,訪問MOVEit Transfer數(shù)據(jù)庫,而依據(jù)用戶所使用的MySQL、Microsoft SQL Server或Azure SQL數(shù)據(jù)庫引擎,攻擊者或能推斷出數(shù)據(jù)結(jié)構(gòu)和內(nèi)容等資訊,并執(zhí)行更改或是刪除數(shù)據(jù)庫運算的SQL語句。
目前黑客已經(jīng)開始利用CVE-2023-34362漏洞發(fā)動攻擊,而微軟在推特發(fā)文表示,他們認為CVE-2023-34362的攻擊,與知名黑客Lace Tempest有關(guān),因為過去Lace Tempest也曾使用類似的漏洞,竊取資料并且勒索受害者。
所有MOVEit Transfer版本均受此漏洞影響,Progress給出了一些緩解建議,包括用戶可以停用MOVEit Transfer環(huán)境中的所有HTTP和HTTPs流量,借由修改防火墻規(guī)則,拒絕連接端口80和443上MOVEit Transfer的HTTP和HTTPs流量,直到安裝完修補程序。Progress官方也提醒用戶應該要檢查并且刪除未經(jīng)授權(quán)的文件和用戶賬戶,同時查看日志記錄,尋找是否存在未經(jīng)授權(quán)的訪問。
文章轉(zhuǎn)載自十輪網(wǎng)