cve - 2023 - 34362: MOVEit漏洞事件时间轴

最后更新于2023年8月10日星期四20:59:08 GMT

下面这篇文章是德鲁·伯顿和辛西娅·怀尔写的.

Rapid7继续跟踪的影响 cve - 2023 - 34362这是软件进展公司MOVEit Transfer解决方案中的一个关键零日漏洞. cve - 2023 - 34362允许SQL注入, 哪些可能导致未经授权访问敏感数据, 比如密码, 信用卡资料, 或用户个人信息.

Rapid7目前还没有发现商品或低技能攻击者正在利用该漏洞的证据. However, 利用全球范围内各种组织规模的可用高价值目标, 垂直, 地理位置表明这是一个广泛的威胁. 随着时间的推移，我们希望看到一个更长的受害者名单.

我们整理了一份到目前为止的事件时间表供你参考.

MOVEit时间表

5月27 - 28日: Rapid7 到目前为止，服务团队已经确认了至少可以追溯到5月27日和5月28日的妥协和数据泄露迹象, 2023(分别).

May 31: 软件进展 发布 他们的MOVEit Transfer解决方案中存在严重的SQL注入漏洞.

May 31: Rapid7开始调查MOVEit Transfer的利用.

June 1: Rapid7 发表初步分析 在对跨多个客户环境的事件做出响应后，MOVEit Transfer攻击.

June 1: 安全社区发布了 技术细节 and 妥协指标.

June 1: Compromises continue; Rapid7 responds to alerts.

June 1: CISA 发布 安全咨询.

June 2: cve - 2023 - 34362 是否分配给零日漏洞.

June 2: Mandiant 将攻击归因于动机未知的威胁集群.

June 2: 伶盗龙 释放一个工件来检测MOVEit文件传输关键漏洞的利用.

June 4: Rapid7 发布一个方法来识别哪些数据被盗.

June 4: Nova Scotian 政府透露正在调查隐私泄露事件.

June 5: 微软 属性 对蕾丝风暴的袭击 Cl0p勒索软件附属公司 先前利用了其他文件传输解决方案(例如.g.、Accellion FTA、Fortra GoAnywhere MFT).

June 5: 英国航空公司(BA)、英国广播公司(BBC)和博姿(Boots)披露的违规行为如下 victims 在MOVEit文件传输.

June 5: Cl0p勒索软件组 claims 零日攻击的责任.

June 6: 安全公司猎人发布了 video 据称是在复制漏洞利用链.

June 6: Cl0p勒索软件组织 发布通信 要求受害组织在6月14日前与他们联系，协商删除被盗数据的勒索费用.

June 7: 中钢协发布 # StopRansomware 关于MOVEit文件传输漏洞cve - 2023 - 34362的网络安全咨询.

June 9: 进度软件更新咨询，包括一个补丁 第二个MOVEit传输漏洞，这是亨特斯在第三方代码审查期间发现的. 稍后分配漏洞 cve - 2023 - 35036.

June 12: Rapid7释放a 完整的开发链 针对MOVEit传输漏洞cve - 2023 - 34362.

June 15: 进度发现一个新的漏洞，CVE-2023-35708，并发布 advisory.

July 6: Progress披露了MOVEit Transfer中另外三个cve. CVE-2023-36934是一个严重的、未经身份验证的SQL注入漏洞. CVE-2023-36932是一个严重的SQL注入漏洞，可以允许经过身份验证的攻击者访问MOVEit Transfer数据库. CVE-2023-36933是一个异常处理问题，可能允许攻击者崩溃应用程序. 缓解指示和最新版本在软件进展的咨询中 here.

缓解

5月31日之前的所有MOVEit Transfer版本, 2023易受cve - 2023 - 34362攻击, 以及6月9日前的所有MOVEit Transfer版本, 2023易受cve - 2023 - 35036攻击. 如上所述, 有固定版本的软件, 在紧急情况下应该打补丁.

补丁可通过 软件进展的cve - 2023 - 34362建议. 另外, 因为cve - 2023 - 34362是一个零日漏洞, 软件进展建议MOVEit Transfer和MOVEit Cloud客户“至少在过去30天内”检查未授权访问的指标."

根据公司的状态页面, 进展还采取了下列步骤，旨在加强安全监测和防范进一步利用或攻击:

• 在Progress的端点保护系统上开发了特定的监控签名.
• 验证新开发的补丁修复了漏洞.
• 在完成之前测试检测规则，以确保通知正常工作.
• 聘请外部网络安全专家和其他事件响应专业人员进行取证调查，并评估事件的程度和范围.

如上所述的时间轴, Rapid7在我们的产品组合中增加了功能，可以帮助用户识别和解决cve - 2023 - 34362的风险. 我们还确定了一种方法来识别从被入侵的MOVEit客户环境中泄露的数据.

要了解更多信息，请查看: Rapid7观察到利用关键MOVEit传输漏洞