Sicherheitsforscher schlagen Alarm, nachdem Hacker dabei erwischt wurden, wie sie eine neu entdeckte Schwachstelle in einem beliebten Dateiübertragungstool ausnutzten, das von Tausenden von Organisationen verwendet wird, um eine neue Welle von Massenangriffen auf Datenexfiltration zu starten.
Die Schwachstelle betrifft die Managed File Transfer (MFT)-Software MOVEit Transfer, die von Ipswitch, einer Tochtergesellschaft der US-amerikanischen Progress Software, entwickelt wurde und es Unternehmen ermöglicht, große Dateien und Datensätze über das Internet auszutauschen. Fortschritt bestätigt Am Mittwoch gab das Unternehmen bekannt, dass es eine Schwachstelle in MOVEit Transfer entdeckt habe, die „zu erweiterten Berechtigungen und potenziell unbefugtem Zugriff auf die Umgebung führen könnte“, und forderte Benutzer auf, den Internetverkehr zu ihrer MOVEit Transfer-Umgebung zu deaktivieren.
Patches sind verfügbar und Progress fordert alle Kunden dazu auf Wenden Sie es dringend an.
Auch die US-Cybersicherheitsbehörde CISA ist dabei drängen US-amerikanische Organisationen müssen die Abhilfemaßnahmen von Progress befolgen, die erforderlichen Updates durchführen und nach böswilligen Aktivitäten suchen.
Tools zur Dateiübertragung in Unternehmen sind zu einem immer attraktiveren Ziel für Hacker geworden, da das Finden einer Schwachstelle in einem beliebten Unternehmenssystem den Datendiebstahl mehrerer Opfer ermöglichen kann.
Jocelyn VerVelde, eine Sprecherin von Progress über eine externe PR-Agentur, wollte nicht sagen, wie viele Organisationen das betroffene Dateiübertragungstool verwenden, obwohl auf der Website des Unternehmens angegeben ist, dass die Software von „Tausenden von Organisationen auf der ganzen Welt“ verwendet wird. Shodan, eine Suchmaschine für öffentlich zugängliche Geräte und Datenbanken, zeigt mehr als 2.500 im Internet auffindbare MOVEit Transfer-Server an, von denen sich die meisten in den USA befinden Großbritannien, Deutschland, die Niederlande und Kanada.
Die Schwachstelle betrifft auch Kunden, die auf die Cloud-Plattform MOVEit Transfer vertrauen. entsprechend Sicherheitsforscher Kevin Beaumont. Mindestens eine aufgedeckte Instanz steht im Zusammenhang mit dem US-Heimatschutzministerium und es wird angenommen, dass auch mehrere „Großbanken“ MOVEIt-Kunden sind, so Beaumont.
Mehrere Sicherheitsunternehmen geben an, bereits Hinweise auf Ausbeutung beobachtet zu haben.
Mandiant sagte, es werde ermittelt „mehrere Einbrüche“ im Zusammenhang mit der Ausnutzung der MOVEit-Sicherheitslücke. Charles Carmakal, Chief Technology Officer von Mandiant, bestätigte, dass Mandiant „Beweise für Datenexfiltration bei mehreren Opfern gesehen“ habe.
Das sagte das Cybersicherheits-Startup Huntress in einem Blogeintrag dass einer seiner Kunden „eine vollständige Angriffskette und alle passenden Anzeichen einer Kompromittierung“ gesehen hat.
Das Sicherheitsforschungsunternehmen Rapid7 bestätigte unterdessen, dass es bei „mindestens vier verschiedenen Vorfällen“ Anzeichen für Ausbeutung und Datendiebstahl beobachtet habe. Caitlin Condon, Senior Manager für Sicherheitsforschung bei Rapid7, sagte, dass das Unternehmen Hinweise darauf gesehen habe, dass Angreifer möglicherweise begonnen haben, die Ausnutzung zu automatisieren.
Während unklar ist, wann genau die Ausnutzung begann, hat das Threat-Intelligence-Startup GreyNoise genannt Es hat bereits am 3. März Scan-Aktivitäten beobachtet und fordert Benutzer dringend auf, die Systeme auf Anzeichen für unbefugten Zugriff zu überprüfen, der in den letzten 90 Tagen stattgefunden haben könnte.
Es ist noch nicht bekannt, wer für die Massenausnutzung von MOVEit-Servern verantwortlich ist.
Condon von Rapid7 sagte gegenüber Tech, dass das Verhalten des Angreifers „eher opportunistisch als gezielt“ zu sein scheine, und fügte hinzu, dass dies „das Werk eines einzelnen Bedrohungsakteurs sein könnte, der wahllos einen Exploit auf exponierte Ziele wirft“.
Es handelt sich um den jüngsten Versuch von Hackern und Erpressergruppen, die Dateiübertragungssysteme von Unternehmen in den letzten Jahren ins Visier zu nehmen.
Im Januar übernahm die mit Russland verbundene Ransomware-Bande Clop die Verantwortung für die Massenausnutzung von a Sicherheitslücke in der verwalteten Dateiübertragungssoftware GoAnywhere von Fortra. Mehr als 130 Organisationen, die GoAnywhere nutzen, wurden ins Visier genommen, darunter ein in Florida ansässiges Gesundheitsunternehmen NationBenefitsAnbieter virtueller Therapie Brightlineund die Stadt Toronto.
Clop stand auch hinter einem weiteren weit verbreiteten Angriff auf ein anderes beliebtes Dateiübertragungstool im Jahr 2021. Die Bande brach das Dateifreigabetool von Accellion ein und startete Angriffe gegen eine Reihe von Organisationen, darunter Morgan Stanleydie University of California, der Lebensmittelriese Kroger und die Anwaltskanzlei Jones Day.