История уязвимости в MOVEit, которая потрясла мир

[Artifact]

Атака группы Clop на цепочку поставок ПО MOVEit Transfer по праву считается одной из крупнейшей вымогательских кампаний.
Хакерская атака на систему передачи файлов MOVEit Transfer продолжает наносить ущерб, число затронутых организаций приближается к 400. Группа хакеров Clop использовала уязвимость в программном обеспечении Progress Software для кражи данных из уязвимых сетей. Среди пострадавших – крупные корпорации и государственные агентства США, в том числе Департамент энергетики США , Shell , Deutsche Bank и PwC .
По состоянию на 19 июля, было скомпрометировано 383 организации и более 20 миллионов человек. Инцидент с MOVEit сравнивается с известным случаем взлома SolarWinds , хотя и не таким разрушительным. Ожидается, что убытки будут значительными, включая мониторинг кредитов для миллионов людей и множество судебных исков.
Британский поставщик решений для расчёта заработной платы и управления персоналом Zellis один из самых первых подтвердил , что подвергся утечке данных, которая также повлияла на некоторых его клиентов, включая компании BBC , British Airways и аптечную сеть Boots .
Стоит напомнить, что взлом MFT-платформы MOVEit Transfer произошёл 27 мая благодаря уязвимости нулевого дня CVE-2023-34362 . За время нахождения в системах MOVEit хакерам удалось похитить данные сотен компаний. И далеко не все из них сообщили об утечке данных публично. Как сообщают эксперты, нападение на сервис MOVEit Transfer готовилось ещё в 2021 году, когда хакеры прощупывали возможные пути для атаки.
Основные уязвимости в ПО включали первоначальную уязвимость SQL-инъекции ( CVE-2023-34362 ), исправленную на следующий день после обнаружения. Затем следовали еще две уязвимости, обнаруженные 9 и 15 июня ( CVE-2023-35036 и CVE-2023-35708 ). В начале июля были обнаружены и исправлены еще три уязвимости ( CVE-2023-36934 , CVE-2023-36932 , и CVE-2023-36933 ).
По данным компании Bitsight, затронутые организации успешно справляются с исправлениями. Кроме того, считается, что атаки на цепочку поставок становятся все более привлекательными для хакеров из-за их масштаба. Однако такой подход предполагает одноразовое использование каждой атаки, после которого злоумышленникам приходится искать новые методы.