banner
Lar / blog / Vítimas da injeção zero do MOVEit SQL
blog

Vítimas da injeção zero do MOVEit SQL

Apr 03, 2023Apr 03, 2023

Sergey Nivens - stock.adobe.com

Várias organizações agora estão se apresentando para divulgar que foram afetadas por ataques cibernéticos originados por meio de uma vulnerabilidade recentemente divulgada no produto de transferência de arquivos MOVEit da Progress Software, que está sendo amplamente explorado, inclusive por operadores de ransomware.

Nas últimas 24 horas, organizações como BBC, Boots e British Airways (BA) confirmaram que foram impactadas, com a BBC dizendo à equipe que números de identificação, datas de nascimento, endereços residenciais e números de seguro nacional foram comprometidos no incidente. . Os funcionários da BA também foram informados de que seus dados bancários podem ter sido roubados.

No caso da BA e outras, o incidente começou por meio dos sistemas da Zellis, fornecedora de serviços de informática para departamentos de folha de pagamento e recursos humanos. Um porta-voz da Zellis confirmou que um "pequeno número" de clientes da organização foi afetado.

"Todos os softwares de propriedade da Zellis não são afetados e não há incidentes associados ou comprometimento de qualquer outra parte de nosso patrimônio de TI", disse o porta-voz.

“Assim que tomamos conhecimento desse incidente, tomamos medidas imediatas, desconectando o servidor que utiliza o software MOVEit e contratando uma equipe de resposta a incidentes de segurança externa especializada para ajudar na análise forense e no monitoramento contínuo”, acrescentaram.

A Zellis disse que notificou as autoridades relevantes no Reino Unido e na Irlanda, incluindo o Information Commissioner's Office (ICO) e a Irish Data Protection Commission (DPC).

Um porta-voz da BA disse: "Fomos informados de que somos uma das empresas afetadas pelo incidente de segurança cibernética da Zellis, que ocorreu por meio de um de seus fornecedores terceirizados chamado MOVEit. A Zellis fornece serviços de suporte à folha de pagamento para centenas de empresas no Reino Unido, dos quais somos um.

"Este incidente aconteceu devido a uma vulnerabilidade nova e anteriormente desconhecida em uma ferramenta de transferência de arquivos MOVEit amplamente usada. Notificamos os colegas cujas informações pessoais foram comprometidas para fornecer suporte e aconselhamento."

O pai da BA, IAG, está trabalhando para apoiar aqueles que podem ser afetados e também relatou o incidente ao ICO por conta própria.

Um porta-voz do Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) disse que a agência estava monitorando de perto a situação.

“Estamos trabalhando para entender completamente o impacto no Reino Unido após relatos de uma vulnerabilidade crítica que afeta o software MOVEit Transfer sendo explorado”, disseram eles. "O NCSC encoraja fortemente as organizações a tomarem medidas imediatas, seguindo os conselhos de melhores práticas do fornecedor e aplicando as atualizações de segurança recomendadas."

O produto de software de transferência gerenciada de arquivos MOVEit (MFT) foi inicialmente desenvolvido e lançado no início dos anos 2000 por uma empresa chamada Standard Networks. Esta empresa foi posteriormente adquirida pela especialista em software de rede Ipswitch, que foi comprada pela Progress em 2019.

Na quarta-feira, 31 de maio de 2023, a Progress anunciou que havia descoberto e corrigido uma vulnerabilidade crítica no MOVEit, afetando todos os usuários do produto de transferência MOVEit.

Rastreado como CVE-2023-34362, o bug é uma vulnerabilidade de injeção de SQL que pode permitir que um ator não autenticado acesse o banco de dados MOVEit Transfer do usuário e – dependendo se eles estão usando MySQL, Microsoft SQL Server ou Azure SQL como seu mecanismo de banco de dados – inferir informações sobre o conteúdo do banco de dados e executar instruções SQL que alteram ou excluem elementos dele.

Várias empresas de segurança rastrearam a exploração do CVE-2023-34362 na semana passada, incluindo Microsoft, Mandiant e Rapid7.

A Microsoft disse que estava preparada para atribuir ataques que exploram a vulnerabilidade a um agente de ameaça que agora está rastreando como Lace Tempest, um operador de ransomware mais conhecido por executar a operação Clop (também conhecida como Cl0p).

O Cl0p é uma cepa particularmente virulenta de ransomware e seus operadores são amplamente conhecidos por serem especialmente parciais para problemas que afetam os processos de transferência de arquivos. No início deste ano, eles estavam por trás de uma série de ataques que exploraram uma vulnerabilidade na ferramenta Fortra GoAnywhere MFT para atacar os sistemas de mais de 90 vítimas, incluindo a empresa de armazenamento e segurança Rubrik.