Вслед за обнаруженнымипосле недавнего аудита безопасности уязвимостями CVE-2023-35036 (от 9 июня) и CVE-2023-34362от 31 мая, компания прогресс Progress Software, головная компания разработчиков MOVEit Transfer, предупредила всех клиентов платформы об ограничении всего ” data-html=”true” data-original-title=”HTTP” >HTTP-доступа к их средам после того, как ранее в Интернете появилась информация об ещё одной уязвимости сервиса с использованием метода SQL-инъекции (SQLi).
Исправление, устраняющее новую критическую ошибку безопасности, пока недоступно, но в настоящее время оно тестируется и, по словам компании, будет выпущено “в ближайшее время”.
Пока не будут выпущены обновления безопасности для затронутых версий ПО, Progress Software “настоятельно” рекомендует администраторам на местах изменить правила брандмауэра, чтобы запретить трафик HTTP и HTTPs для MOVEit Transfer на портах 80 и 443 в качестве временного обходного пути.
Даже если пользователи больше не смогут входить в свои учётные записи через веб-интерфейс, передача файлов по-прежнему будет доступна, поскольку протоколы SFTP и FTP будут продолжать работать должным образом.
Администраторы также могут получить доступ к MOVEit Transfer, подключившись к Windows server через удаленный рабочий стол, а затем подключившись через localhost.
Пока специалисты Progress Software отчаянно пытаются закрыть все дыры в своём MFT-сервисе, хакеры Clop, которым в конце мая удалось успешно похитить данные огромного числа компаний из-за уязвимости нулевого дня MOVEit Transfer, активно шантажируют компании.
Ранее мы уже сообщали , что 7 июня Clop выдвинула пострадавшим от утечки данных компаниям ультиматум. Затронутые атакой организации должны были самостоятельно связаться с вымогателями до 14 июня, в ином случае хакеры обещали слить их данные в сеть без возможности договориться.
Вчера участники банды Clop перечислили 13 компаний на своём сайте утечки данных, но не указали, были ли они связаны с атаками MOVEit Transfer или являлись атаками шифрования с использованием программ-вымогателей. Среди пострадавших: топливный гигант Shell, Университет Джорджии в США и инвестиционный фонд Putnam. Также в список включены ряд американских банков и организаций в Нидерландах и Швейцарии.
Представители Shell уже заявили что не собираются вести переговоры с хакерами банды. Видимо, компания затаила обиду ещё с прошлого раза, когда вымогатели Clop взломали Accellion FTA в 2021 году и также получили доступ к данным Shell.
Британский поставщик решений для расчёта заработной платы и управления персоналом Zellis один из самых первых подтвердил , что подвергся утечке данных, которая также повлияла на некоторых его клиентов, включая компании BBC, British Airways и аптечную сеть Boots.
Университет Джона Хопкинса на этой неделе также подтвердил инцидент с кибербезопасностью, предположительно связанный с массовым взломом MOVEit. В заявлении университета говорится, что утечка данных “могла повлиять на личную и финансовую информацию” студентов и сотрудников университета, включая имена, контактную информацию и записи медицинских счетов.
Ofcom, британский регулятор связи, также сообщил , что в результате массового взлома MOVEit была скомпрометирована некоторая конфиденциальная информация. В заявлении регулятора подтверждено, что хакеры получили доступ к некоторым данным о компаниях, которые он регулирует, наряду с личной информацией 412 сотрудников Ofcom.
По данным британских СМИ, от атаки Clop также пострадали: Transport for London, правительственный орган, отвечающий за управление транспортными услугами Лондона; и глобальная консалтинговая фирма Ernst and Young.
Ожидается, что в ближайшие дни и недели будет выявлено гораздо больше жертв, поскольку тысячи серверов MOVEit, большинство из которых расположены в Соединенных Штатах, всё ещё можно обнаружить в Интернете с помощью специальных инструментов.