美國官員15日稱,俄羅斯勒索軟體組織Cl0p利用MOVEit檔案傳輸軟體的零日漏洞發動攻擊,竊取並高價售賣美國能源部在內的多個聯邦機構使用者資料。
美國聯邦機構網路安全與基礎設施安全局(CISA)公佈了這起入侵事件。
CISA認為此次入侵具有高度隨機性,既沒有專注於特定的高價值資訊,也沒有像之前針對美國政府機構的網路攻擊那樣具有破壞性。
美國能源部證實,旗下兩家機構對資料記錄遭到入侵,並已通知國會和CISA。美國農業部發言人表示,他們可能遭到了Cl0p的攻擊,該部門將首次因為資料洩露接受調查。
美國勞工部、教育部和內政部的發言人表示,這些部門未受影響。國務院、國防部和聯邦調查局(FBI)代表拒絕對是否受到影響發表評論,其他幾家聯邦機構也未回應置評請求。
多個州級組織也宣佈遭遇MOVEit漏洞相關的資料洩露事件。伊利諾州、密蘇里州和明尼蘇達州表示正在調查可能影響數千人的與MOVEit有關的資料洩露事件。路易斯安那州發表聲明稱,所有持有該州發行的駕駛執照、身份證明或車輛註冊證的居民的個人資訊可能被竊取。俄勒岡州交通部確認,大約350萬持俄勒岡州身份證身份證明或駕駛執照對居民遭到數據洩漏。
根據CISA和FBI的評估,這次入侵是俄羅斯勒索軟體組織Cl0p所為。他們利用MOVEit軟體漏洞攻擊了多個地方政府、大學和企業。CISA高級官員表示,雖然只有少數聯邦機構受到了影響,但私營機構的初步報告顯示,至少有幾百家公司和組織受到了影響。安全廠商Emsisoft已統計到63名已知/確認受害者和數量不詳的政府機構。
受到此次攻擊影響的軟體使用者包括美國伊利諾州、加拿大新斯科舍省和英國倫敦的公職人員,以及英國航空公司和英國廣播公司(BBC)。約翰·霍普金斯大學、佐治亞州大學系統和Shell公司也發佈了類似的被攻擊聲明。
根據GovSpend公司的資料,美國NASA、財政部、衛生部、國防部等眾多聯邦政府機構購買了MOVEit軟體,但目前尚不清楚有多少機構使用該軟體。
Log4shell式災難:一連串漏洞曝光
MOVEit是一款十分流行的商業檔案傳輸工具,由美國上市公司Progress Software生產。此次遭利用的MOVEit SQL注入零日漏洞CVE-2023-34362。
CISA通報稱,Cl0p組織在5月27日開始利用該漏洞發起攻擊。該組織此前曾使用Accellion、GoAnywhere等多種檔案傳輸工具的漏洞實施入侵。
Progress Software在6月1日修復了CVE-2023-34362。但6月9日又曝光了SQL注入漏洞CVE-2023-35036,該公司於次日修復。6月16日曝光了SQL注入漏洞CVE-2023-35708(基於第一個漏洞的補丁繞過),該公司於次日修復。
MOVEit發言人表示,目前尚未看到新漏洞被利用的跡象。Progress在公告中強調,所有MOVEit客戶應立即採取行動,解決這個重大問題。客戶需要先修補最初的漏洞,然後再應用最新的修復程式。CISA也呼籲各大組織閱讀Progress針對這個漏洞的公告。
第二個漏洞的披露者Huntress高級安全研究員John Hammond表示,推特用戶@MCKSys Argentina 在檢查此前研究成果時,找到了第三個漏洞。他們注意到,最新的修補程式仍然抵禦不了其他攻擊方法,隨即發現了第三個零日漏洞。
Cl0p勒索軟體駭客使用的攻擊方法涉及三個單獨的步驟,利用最新漏洞能減少一個步驟。他建議使用者繼續修補程式,而Progress建議完全關閉HTTP元件。
John Hammond指出,駭客可以通過多種方式攻擊MOVEit檔案傳輸應用程式,因此發現更多問題不奇怪。越來越多的安全研究人員正在詳細研究MOVEit軟體,試圖找到更多漏洞。在這一過程中,可能會繼續發現更多繞過技術。Huntress正與Progress密切合作,幫助後者更新、加固遺留程式碼庫。
Cl0p組織此前聲稱對之前一波入侵負責。該組織表示對政府或員警辦公室竊取的資料不感興趣,而是專注於竊取商業資訊。
不過,勒索軟體攻擊竊取資料很容易被出售給其他非法分子。據統計,Cl0p在其資料洩露網站上列出了總共64個組織,幾乎每個主要行業都受到影響。越來越多的受害者證實了這些攻擊行為。 已波及航空公司、工業、零售、諮詢、教育、政府和公共部門、金融服務和銀行業、衛生保健、廣電、保險、運輸、軟體及油氣等眾多行業。
參考資料:www.com、therecord.media