Af Eskil Sørensen, 14/06/23
Sikkerhedsforskere fra Horizon3 har udgivet proof-of-concept (PoC) til udnyttelse af en RCE-sårbarhed i MOVEit Transfer managed file transfer-løsningen (MFT), som er blevet misbrugt af Clop ransomware-gruppen i datatyveriangreb. Det skriver Bleeping Computer.
Fejlen, der har fået id’et CVE-2023-34362 og CVSS-scoren 9,8, er en SQL-injection sårbarhed, der gør det muligt for uautentificerede angribere at få adgang til ikke-patchede MOVEit-servere og afvikle vilkårlig kode udefra.
Sårbarheden startede som en 0-dagssårbarhed i slutningen af maj, hvor Clop ransomware-gruppen efter det oplyste begyndte at udnytte den i stor skala. Den 31. maj udgav virksomheden bag MOVEit, Progress, opdateringer for at rette fejlen og rådede alle kunder til straks at implementere dem til at blokere forsøg på at udnytte sårbarheden.
I fredags offentliggjorde researchere fra Horizon3 så en proof-of-concept (PoC) exploit og en teknisk analyse af sårbarheden samt en liste over IOC'er, som netværksadministratorer kan bruge til at opdage udnyttelse på sårbare servere.
Bleeping Computer vurderer, at der med udgivelsen exploiten vil være flere trusselsaktører, der sandsynligvis hurtigt vil anvende den i angreb eller skabe deres egne brugerdefinerede versioner for at målrette mod eventuelle upatchede servere.
Det forventes også at antallet af usikrede MOVEit Transfer-servere på internettet er faldet kraftigt, siden Clop begyndte at udnytte fejlen.
Virksomheden Kroll skriver i en rapport, at Clop aktivt har søgt muligheder for at udnytte den patchede MOVEit zero-day sårbarhed siden 2021. Listen over organisationer, der har afsløret databrud efter disse angreb omfatter blandt andet britiske EY, det offentlige sundhedssystem i Irland, Irish Health Service, en udbyder af løn- og HR-løsninger, Zellis, og nogle af dets kunder, British Airways, Aer Lingus og Minnesota Department of Education.