CVE-2023-34362 ist eine SQL-Injection-Schwachstelle in der MOVEIT Transfer Webanwendung. Ein nicht authentifizierter, entfernter Angreifer könnte diese Schwachstelle ausnutzen, indem er eine speziell manipulierte Anfrage an eine anfällige MOVEIT Transfer Instanz sendet. Bei erfolgreichem Ausnutzen würde dies dem Angreifer Zugriff auf die zugrunde liegende MOVEit Transfer Instanz gewähren. Zusätzlich weist Progress Software darauf hin, dass ein Angreifer, je nach verwendetem Datenbank-Managementsystem (wie MySQL, Microsoft SQL Server oder Azure SQL), Informationen über die Struktur und Inhalte der Datenbank ableiten könnte.
Neben der lokalen Version von MOVEIT Transfer war auch MOVEIT Cloud betroffen, wie Progress Software in einer Erklärung gegenüber BleepingComputer bestätigte. Sie fügten hinzu, dass sie "umgehend Maßnahmen ergriffen haben, einschließlich der Abschaltung von MOVEit Cloud, um die Sicherheit unserer Kunden zu gewährleisten, während wir die Schwere der Situation überprüften."
Obwohl Progress Software es nicht explizit als Zero-Day bezeichnet hat, berichtet BleepingComputer, dass sie erfahren haben, dass "Bedrohungsakteure die Schwachstelle als Zero-Day ausgenutzt haben", um "massenhaft Daten von Organisationen herunterzuladen". Zum Zeitpunkt der Veröffentlichung dieses Blog-Beitrags ist uns kein spezifischer Bedrohungsakteur bekannt, der für die Angriffe verantwortlich ist.
Basierend auf einer Shodan-Abfrage von Shodan selbst gab es zum Zeitpunkt des 2. Juni 2023 2.526 potenziell gefährdete MOVEIT Transfer Instanzen, die öffentlich zugänglich waren. Davon stammten fast drei Viertel aus den Vereinigten Staaten (73,4%), gefolgt vom Vereinigten Königreich mit 5% und Deutschland mit 4,6%.
Die Entdeckung von CVE-2023-34362 in MOVEIT markiert das zweite Mal im Jahr 2023, dass eine Zero-Day-Schwachstelle in einer MFT-Lösung ausgenutzt wurde. Im Februar veröffentlichte Fortra (früher HelpSystems) eine Zero-Day-Schwachstelle für Befehlsschachtelung vor der Authentifizierung in seiner GoAnywhere MFT-Lösung. Diese Information wurde den Kunden als Teil einer technischen Mitteilung mitgeteilt, wie der Journalist Brian Krebs berichtete. Diese Schwachstelle wurde als CVE-2023-0669 identifiziert, und Fortra bestätigte, dass auf die Systeme von GoAnywhere-Kunden zwischen dem 28. und 30. Januar über diese Schwachstelle zugegriffen wurde, wie aus den Zusammenfassungen der Untersuchungen hervorgeht. Die Ransomware-Gruppe Clop reklamierte die Angriffe für sich und behauptete, Daten von "über 130 Organisationen" gestohlen zu haben. Zusätzlich wurde beobachtet, dass auch die Ransomware-Gruppe BlackCat/ALPHV die Schwachstelle CVE-2023-0669 ausnutzte.
CVE-2023-34362 ist eine SQL-Injection-Schwachstelle in der MOVEIT Transfer Webanwendung. Ein nicht authentifizierter, entfernter Angreifer könnte diese Schwachstelle ausnutzen, indem er eine speziell manipulierte Anfrage an eine anfällige MOVEIT Transfer Instanz sendet. Bei erfolgreichem Ausnutzen würde dies dem Angreifer Zugriff auf die zugrunde liegende MOVEit Transfer Instanz gewähren. Zusätzlich weist Progress Software darauf hin, dass ein Angreifer, je nach verwendetem Datenbank-Managementsystem (wie MySQL, Microsoft SQL Server oder Azure SQL), Informationen über die Struktur und Inhalte der Datenbank ableiten könnte.
Neben der lokalen Version von MOVEIT Transfer war auch MOVEIT Cloud betroffen, wie Progress Software in einer Erklärung gegenüber BleepingComputer bestätigte. Sie fügten hinzu, dass sie "umgehend Maßnahmen ergriffen haben, einschließlich der Abschaltung von MOVEit Cloud, um die Sicherheit unserer Kunden zu gewährleisten, während wir die Schwere der Situation überprüften."
Obwohl Progress Software es nicht explizit als Zero-Day bezeichnet hat, berichtet BleepingComputer, dass sie erfahren haben, dass "Bedrohungsakteure die Schwachstelle als Zero-Day ausgenutzt haben", um "massenhaft Daten von Organisationen herunterzuladen". Zum Zeitpunkt der Veröffentlichung dieses Blog-Beitrags ist uns kein spezifischer Bedrohungsakteur bekannt, der für die Angriffe verantwortlich ist.
Basierend auf einer Shodan-Abfrage von Shodan selbst gab es zum Zeitpunkt des 2. Juni 2023 2.526 potenziell gefährdete MOVEIT Transfer Instanzen, die öffentlich zugänglich waren. Davon stammten fast drei Viertel aus den Vereinigten Staaten (73,4%), gefolgt vom Vereinigten Königreich mit 5% und Deutschland mit 4,6%.
Die Entdeckung von CVE-2023-34362 in MOVEIT markiert das zweite Mal im Jahr 2023, dass eine Zero-Day-Schwachstelle in einer MFT-Lösung ausgenutzt wurde. Im Februar veröffentlichte Fortra (früher HelpSystems) eine Zero-Day-Schwachstelle für Befehlsschachtelung vor der Authentifizierung in seiner GoAnywhere MFT-Lösung. Diese Information wurde den Kunden als Teil einer technischen Mitteilung mitgeteilt, wie der Journalist Brian Krebs berichtete. Diese Schwachstelle wurde als CVE-2023-0669 identifiziert, und Fortra bestätigte, dass auf die Systeme von GoAnywhere-Kunden zwischen dem 28. und 30. Januar über diese Schwachstelle zugegriffen wurde, wie aus den Zusammenfassungen der Untersuchungen hervorgeht. Die Ransomware-Gruppe Clop reklamierte die Angriffe für sich und behauptete, Daten von "über 130 Organisationen" gestohlen zu haben. Zusätzlich wurde beobachtet, dass auch die Ransomware-Gruppe BlackCat/ALPHV die Schwachstelle CVE-2023-0669 ausnutzte.
