image

"Ransomwaregroep beschikte al sinds 2021 over zeroday in MOVEit Transfer"

vrijdag 9 juni 2023, 10:09 door Redactie, 3 reacties

De criminelen achter de Clop-ransomware beschikten al sinds 2021 over het zerodaylek in MOVEit Transfer waardoor er nu bij allerlei grote organisaties gegevens zijn gestolen, zo stelt adviesbureau Kroll op basis van eigen onderzoek. MOVEit Transfer is een applicatie voor het uitwisselen van bestanden. Allerlei organisaties maken er gebruik van om onder andere vertrouwelijke informatie binnen de organisatie te delen.

Een kwetsbaarheid in de applicatie (CVE-2023-34362) maakt het mogelijk om toegang tot data te krijgen en een webshell op de server te installeren voor het behouden van toegang. Ontwikkelaar Progress Software kwam op 31 mei met een beveiligingsupdate en stelde dat klanten hun systemen voor minstens de afgelopen dertig dagen op aanwijzingen van ongeautoriseerde toegang moesten controleren.

Volgens Kroll beschikte de ransomwaregroep al in 2021 over de kwetsbaarheid en testte het manieren om er misbruik van te maken. De aanvallen die uiteindelijk eind mei plaatsvonden vielen samen met het Memorial Day weekend in de Verenigde Staten. Cybercriminelen kiezen vaker vakantiedagen of lange weekenden uit om hun aanvallen uit te voeren, aangezien er dan minder personeel beschikbaar is om de aanval op te merken of hierop te reageren.

Kroll deed onderzoek bij getroffen klanten en ontdekte dat in april 2022 en juli 2021 er ook aanvallen hebben plaatsgevonden waarbij de MOVEit-exploit werd gebruikt. Vermoedelijk als test door de criminelen om te kijken bij welke organisatie ze toegang hadden. Gisteren liet Landal GreenParks tegenover Security.NL weten dat het slachtoffer van de aanvallen op MOVEit Transfer was en daarbij de gegevens van mogelijk twaalfduizend gasten zijn gestolen.

Eerder deze week bleek dat British Airways, BBC, de Britse apothekersketen Boots, de Ierse luchtvaartmaatschappij Aer Lingus en de Canadese provincie Nova Scotia vanwege de aanval op MOVEit Transfer met datalekken te maken hebben gekregen. Het is niet de eerste keer dat de Clop-ransomwaregroep van een zerodaylek gebruikmaakt. Eerder gebeurde dat ook bij Fortra GoAnywhere en Accellion File Transfer Appliance, wat tot een golf van datalekken leidde.

Reacties (3)
09-06-2023, 10:31 door Anoniem
Ja zo zie je maar wat een disconnect er is tussen verkoop en realiteit. De website van Progress Software begint met:

Applications and Experiences That Set You Apart
Develop the applications you need, deploy how you want and manage it all safely and securely.


en van de pagina over MOVEit:

Managed File Transfer Software
Secure File Transfer and Automation Software for the Enterprise

Guarantee the reliability of core business processes and transfer sensitive data
between partners, customers and systems the secure and compliant way with MOVEit.


Tot zover het sales verhaal. De werkelijkheid is dat het TOTALE PRUTSERS zijn die NIKS SNAPPEN van security!
Naar mijn mening is het hebben van een SQL injection vulnerability namelijk geen "bug", "kan de besten gebeuren",
nee dat is een indicatie van TOTALE INCOMPETENTIE.

Programmeurs uit de hobbywereld gezet aan het programmeren van "Automation Software for the Enterprise".
Wat een toko...
09-06-2023, 14:20 door Anoniem
Zou een SQL injectie vulnerability niet naar boven moeten in een pentest?
09-06-2023, 15:54 door Anoniem
Door Anoniem: Zou een SQL injectie vulnerability niet naar boven moeten in een pentest?
Testen is geen manier om aan te tonen dat iets goed is!
Code review zou wel kunnen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.