Các nhà nghiên cứu của Horizon3 đã phát hành mã khai thác PoC và phân tích kỹ thuật cho lỗ hổng thực thi mã từ xa trong giải pháp quản lý truyền tệp MOVEit Transfer (MFT). Lỗ hổng này đã bị nhóm ransomware Clop khai thác trong các cuộc tấn công đánh cắp dữ liệu.
Lỗ hổng có mã định danh là CVE-2023-34362 là một lỗ hổng SQL injection cho phép những kẻ tấn công không được xác thực có quyền truy cập vào các máy chủ MOVEit chưa được vá và thực thi mã tùy ý từ xa.
Chỉ vài ngày sau khi nhóm ransomware Clop bắt đầu khai thác lỗ hổng dưới dạng zero-day để tấn công quy mô lớn, Progress đã phát hành các bản cập nhật bảo mật để vá lỗi và khuyến cáo khách hàng áp dụng ngay lập tức để chặn các nỗ lực khai thác.
Theo báo cáo của Kroll, Clop đã tích cực tìm cách khai thác lỗ hổng zero-day MOVEit kể từ năm 2021. Họ cũng đã tìm kiếm các phương pháp trích xuất dữ liệu từ các máy chủ MOVEit bị xâm phạm kể tháng 4/2022.
Các tổ chức bị xâm phạm dữ liệu sau các cuộc tấn công khai thác lỗ hổng CVE-2023-34362 bao gồm: tập đoàn đa quốc gia EY của Anh, hệ thống chăm sóc sức khỏe công cộng của Ireland Health Service Executive (HSE), nhà cung cấp giải pháp thanh toán tiền lương và quản lý nhân sự Zellis (Anh) và một số khách hàng của họ như British Airways của Anh, Aer Lingus của Ireland và Sở Giáo dục Minnesota.
Cuối tuần trước, Progress cũng đã đã vá và cảnh báo khách hàng về các lỗ hổng SQL injection nghiêm trọng mới được tìm thấy trong MOVEit Transfer, cho phép những kẻ tấn công không được xác thực lấy cắp thông tin từ cơ sở dữ liệu của khách hàng.
Nguồn: Bleeping Computer