Pesquisadores de segurança estão soando o alarme depois que hackers foram pegos explorando uma vulnerabilidade recém-descoberta em uma ferramenta popular de transferência de arquivos usada por milhares de organizações para lançar uma nova onda de ataques de exfiltração de dados em massa.
A vulnerabilidade afeta o software de transferência gerenciada de arquivos (MFT) MOVEit Transfer, desenvolvido pela Ipswitch, uma subsidiária da Progress Software, com sede nos EUA, que permite que as organizações compartilhem grandes arquivos e conjuntos de dados pela Internet. A Progress confirmou na quarta-feira que descobriu uma vulnerabilidade no MOVEit Transfer que “poderia levar a privilégios escalonados e potencial acesso não autorizado ao ambiente” e instou os usuários a desativar o tráfego da Internet em seu ambiente MOVEit Transfer.
Os patches estão disponíveis e a Progress está pedindo a todos os clientes que os apliquem com urgência .
A agência de segurança cibernética dos EUA, CISA, também está pedindo às organizações dos EUA que sigam as etapas de mitigação do Progress, apliquem as atualizações necessárias e procurem qualquer atividade maliciosa. A vulnerabilidade também afeta os clientes que dependem da plataforma de nuvem MOVEit Transfer, de acordo com o pesquisador de segurança Kevin Beaumont . Pelo menos uma instância exposta está conectada ao Departamento de Segurança Interna dos EUA e acredita-se que vários «grandes bancos» sejam clientes do MOVEIt também afetados, de acordo com Beaumont. Várias empresas de segurança dizem que já observaram evidências de exploração.
A Mandiant disse que está investigando «várias invasões» relacionadas à exploração da vulnerabilidade MOVEit. A startup de segurança cibernética Huntress disse em um post de blog que um de seus clientes viu «uma cadeia de ataque completa e todos os indicadores correspondentes de comprometimento». A empresa de pesquisa de segurança Rapid7, por sua vez, confirmou que observou sinais de exploração e roubo de dados em «pelo menos quatro incidentes separados». Caitlin Condon, gerente sênior de pesquisa de segurança da Rapid7, disse que a empresa viu evidências de que os invasores podem ter começado a automatizar a exploração.
Embora não esteja claro exatamente quando a exploração começou, a startup de inteligência de ameaças GreyNoise disse que observou atividade de varredura desde 3 de março e pede aos usuários que revisem os sistemas em busca de quaisquer indicadores de acesso não autorizado que possam ter ocorrido nos últimos 90 dias. Ainda não se sabe quem é o responsável pela exploração em massa dos servidores MOVEit. Condon, da Rapid7, disse ao TechCrunch que o comportamento do invasor parece ser «oportunista em vez de direcionado», acrescentando que isso «pode ser o trabalho de um único ator de ameaça lançando uma exploração indiscriminadamente em alvos expostos». Em janeiro, a gangue de ransomware Clop, ligada à Rússia, reivindicou a responsabilidade pela exploração em massa de uma vulnerabilidade no software de transferência de arquivos gerenciado GoAnywhere da Fortra.
Fonte leia mais: https://techcrunch.com/2023/06/02/hackers-launch-another-wave-of-mass-hacks-targeting-company-file-transfer-tools/
