В прошлом году уязвимость утилиты защищённого файлообмена MOVEit поставила под угрозу множество крупных компаний по всему миру, в том числе экспертов по кибербезопасности. Теперь в одном из компонентов программы обнаружена новая уязвимость с критическим рейтингом.

Источник изображения: Gerd Altmann / pixabay.com

Утилита MOVEit, продажей которой занимается Progress Software, предназначается для предприятий и позволяет производить обмен файлами с использованием различных технологий, в том числе SFTP, SCP и HTTP в соответствии с требованиями стандартов безопасности. По различным оценкам, в интернете развёрнуты от 1800 до 2700 доступных извне файлообменных сетей MOVEit, которым пользуются компании. В прошлом году из-за критической уязвимости MOVEit были скомпрометированы более 2300 частных и государственных организаций, включая реестр рождаемости канадской провинции Онтарио, в результате чего была допущена утечка персональных данных 3,4 млн человек.

В минувший вторник Progress Software раскрыла информацию об уязвимости CVE-2024-5806, которая позволяет потенциальным злоумышленникам обходить средства аутентификации и получать доступ к конфиденциальным данным. Уязвимость относится к модулю SFTP MOVEit и имеет рейтинг 9,1 из 10 (критическая). Разработчик 11 июня выпустил обновления программы и порекомендовал оперативно установить их: как выяснили эксперты Shadowserver, уже через несколько часов после раскрытия информации об уязвимости были зафиксированы попытки её эксплуатации.

Вдобавок исследователи watchTowr описали связанную с этой уязвимостью альтернативную схему атаки, позволяющую злоумышленникам получать криптографические хеши, при помощи которых маскируются пароли пользователей. Для её осуществления требуется подконтрольный злоумышленнику SMB-сервер и действительное имя пользователя — подобрать его бывает относительно несложно. Атака может производиться через библиотеку IPWorks SSH, которая также включена в MOVEit. Разработчик признал, что «хотя исправление, распространённое Progress 11 июня, успешно устраняет проблему, выявленную с CVE-2024-5806, эта недавно обнаруженная сторонняя уязвимость представляет новую угрозу». Для защиты от потенциального взлома пользователям системы файлообмена рекомендовано заблокировать входящий RDP-доступ к серверам MOVEit, а также ограничить исходящий доступ с серверов MOVEit лишь доверенными конечными точками.

Подразделение Sony Interactive Entertainment (SIE) сообщило о крупной утечке данных, произошедшей из-за взлома злоумышленниками компьютерных сетей компании с использованием уязвимости нулевого дня CVE-2023-34362 в платформе MOVEit Transfer. По этому поводу компания уведомила примерно 6800 человек, включая нынешних и бывших сотрудников и членов их семей.

Источник изображения: Pixabay

В уведомлении сообщается, что взлом произошёл 28 мая, за три дня до того, как Progress Software (поставщик MOVEit) известила SIE об уязвимости, но его обнаружили в начале июня. «2 июня 2023 года мы обнаружили несанкционированные загрузки, немедленно отключили платформу и устранили уязвимость», — сообщила Sony Interactive Entertainment, отметив, что взлом был ограничен конкретной программной платформой и не затронул другие системы, и что о случившемся извещена полиция, а также начато расследование инцидента с привлечением экспертов по кибербезопасности.

В уведомлении пострадавшим предлагается воспользоваться сервисами кредитного мониторинга и восстановления личности через Equifax, доступ к которым они могут получить до 29 февраля 2024 года, используя свой уникальный код.

В конце прошлого месяца на хакерских форумах появились сообщения об ещё одном взломе систем Sony, в результате которого было украдено 3,14 Гбайт. Утекшие данные, хранившиеся как минимум у двух отдельных хакеров, содержали подробную информацию о платформе SonarQube, сертификатах, Creators Cloud, политиках реагирования на инциденты, эмуляторе устройств для генерации лицензий и т.д.

Компания подтвердила ресурсу BleepingComputer.com факт взлома, отметив, что при содействии внешних экспертов была выявлена активность на одном сервере, расположенном в Японии, который используется для внутреннего тестирования в сфере развлечений, технологий и услуг (ET&S).

Sony отключила на время расследования этот сервер. Как сообщается, нет никаких признаков того, что данные клиентов и деловых партнёров хранились на данном сервере, и что были затронуты какие-либо другие системы компании. Также не было отмечено никаких негативных последствий для Sony.

Очередной жертвой хакерской группировки Cl0p, активно эксплуатирующей уязвимость файлообменной платформы MOVEit стала компания Gen Digital, дочерними компаниями которой являются разработчики антивирусов Avast и Norton. В результате атаки добычей киберпреступников стали персональные данные сотрудников компании.

Источник изображения: Gerd Altmann / pixabay.com

Gen Digital подтвердила 20 июня, что в результате атаки вируса-вымогателя, эксплуатирующего уязвимость службы MOVEit, были похищены персональные данные сотрудников компании: имена, домашние адреса, рабочие идентификаторы и адреса электронной почты. В Gen Digital пояснили, что попытались устранить известные уязвимости в системе, но избежать атаки не смогли — при этом удалось избежать ущерба технологическим системам и службам компании, не были также похищены данные клиентов и партнёров.

В файлообменной службе MOVEit была обнаружена критическая уязвимость, которой присвоили номер CVE-2023-34362. Эксплуатация уязвимости осуществляется посредством SQL-инъекции, а специализируется на ней хакерская группировка Cl0p. Примечательно, что атака продолжилась после выпуска закрывающего уязвимость патча — пострадали уже более сотни организаций. В качестве дополнительных защитных мер рекомендуется «спрятать» приложение за VPN, прокси-сервером или посадочной страницей с формой авторизации.