【立即升級】MOVEit再爆漏洞　入侵概念驗證被公開客戶勢危

MOVEit Transfer 及 Cloud Managed file transfer（MFT）零日漏洞事件繼續發酵！開發商 Progress Software 在五月尾推出安全修補後，在調查過程中又發現多一個零日漏洞，結果在 6 月 9 日再一次緊急發布第二次安全修補。

專家指第一個漏洞正被勒索軟件集團 Cl0p 瘋狂濫用，受影響的機構已超過 100 間，而且亦有入侵的概念驗證（PoC）被公開，如果有採用相關服務，就更加要立即升級。

調查期間發現另一零日漏洞

在 5 月 31 日，Progress Software 公開漏洞報告，指 MOVEit 檔案共享服務存在安全漏洞，容許黑客使用 SQL injection 技術遙距執行惡意編碼，提升帳戶特權以存取未經授權的內部檔案。該漏洞的編號為 CVE-2023-34362，而 Progress Software 亦即時推出安全更新，以及啟動調查程式，邀請第三方網絡安全公司 Huntress 合作調查。

經過約一星期調查，Huntress 研究員竟發現系統另一個零日漏洞（CVE-2023-35036），黑客可通過同一技術攻擊採用服務的客戶，因而 Progress Software 須緊急推出新的安全修補。

過百間機構受害　包括英國通訊管理局

而在這次調查期間，首先已有多間英國機構如 Zellis、英國航空、BBC 及 Boots 表示受到襲擊，勒索軟件集團 Cl0p 的黑客通過 MOVEit 取得公司重要數據，並且被警告如在 6 月 14 日仍未交贖金，相關資料就會網上公開。

之後，加拿大政府的創新科技部門及教育部都遭受襲擊，但慶幸部門已關注到相關漏洞，因此在發現攻擊時已立即採取行動，特別是後者只被盜去 24 個檔案，但亦有 95,000 名學生的個人私隱外洩。而英國通訊管理局 Ofcom 亦榜上有名，承認部分所管理公司的機密資訊及 412 位員工的個人資料外洩。事件發生至今，已有超過 100 間機構受影響

不過，Cl0p 方面已表明會無條件刪除受影響的政府機構及執法部門外洩資料，相信是希望減少被執法部門打擊的機會。

PoC 被公開　用戶應加快升級

專家指現階段只有第一項漏洞有被利用的跡象，不過在調查期間，發現黑客可能早在 2021 年已測試過相關漏洞，只是一直按兵不動，可見第二項漏洞也有可能潛藏巨大機會。

另一方面，因為 Horizon3 安全研究員已經公開使用漏洞的 PoC，展示 Cl0p 黑客整個入侵過程，研究員指黑客通過 SQL injection 取得系統管理員的 API 登入憑證，所以相信其他黑客亦要照辦煮碗，入侵其他暴露於網上而又未修補漏洞的端點。因此，Progress Software 強烈建議客戶採取行動，執行以下安全措施：

MOVEit Transfer
1．確認安裝最新的補修檔案
2．執行建議的緩解措施
3．監測已知的入侵指標（IoC）
4．只使用 MOVEit Transfer 官方提供的下載鏈接，不要使用第三方資源。

MOVEit Cloud
1．確認安裝最新的補修檔案
2．調查審計日誌，尋找任何未經授權的文件下載等異常操作
3．持續監控訪問日誌和系統日誌

相關文章：【零時差攻擊】英航BBC員工資料外洩　Sophos籲停用MOVEit Transfer