Phát hiện lỗ hổng thứ ba trong ứng dụng MOVEit Transfer

Lỗ hổng bảo mật mới được phát hiện là CVE2023-35708 (Điểm CVSS: 9.8) với mức độ ảnh hưởng Nghiêm trọng, cho phép đối tượng tấn công nâng cao đặc quyền và truy cập trái phép vào hệ thống, gây ra lỗi SQL injection.

Các công ty đang khuyến nghị khách hàng của mình vô hiệu hóa tất cả truy cập HTTP và HTTPs đối với MOVEit Transfer trên port 80 và port 443, nhằm bảo vệ hệ thống của họ trong khi bản vá đang được cập nhật.

Ngoài ra, lỗ hổng CVE-2023-34362 (Điểm CVSS: 9.8) với mức độ ảnh hưởng Nghiêm trọng cũng đang được ransomware Cl0p khai thác trong các cuộc tấn công nhằm đánh cắp dữ liệu trái phép.

Cl0p đã liệt kê 27 công ty đã bị tấn công bằng cách sử dụng lỗ hổng trong MOVEit Transfer dưới mạng darknet. Các tổ chức có khả năng bị ảnh hưởng lớn hơn nhiều so với con số ban đầu được đề ra trong chiến dịch Fortra Go Anywhere MFT của Cl0p, bao gồm nhiều cơ quan liên bang của Hoa Kỳ như Bộ Năng lượng.

Theo các nhà nghiên cứu, gần 31% trong hơn 1.400 máy chủ sử dụng MOVEit thuộc ngành dịch vụ tài chính, 16% thuộc lĩnh vực chăm sóc sức khỏe, 9% thuộc lĩnh vực công nghệ thông tin và 8% thuộc các lĩnh vực chính phủ và quân sự. Trong số này, có đến 80% máy chủ có trụ sở tại Hoa Kỳ.

Progress phát hành các bản vá khắc phục lỗ hổng trong MOVEit Transfer

Progress Software đã phát hành các bản vá khắc phục lỗ hổng trong MOVEit Transfer, bao gồm các phiên bản

2020.1.10 (12.1.10), 2021.0.8 (13.0.8), 2021.1.6 (13.1.6), 2022.0.6 (14.0.6), 2022.1.7 (14.1.7) và 2023.0.3 (15.0.3).

Lỗ hổng SQL injection trong ứng dụng MOVEit Transfer cho phép đối tượng tấn công không được xác thực có quyền truy cập trái phép vào cơ sở dữ liệu MOVEit Transfer, đồng thời gửi một payload tự tạo đến điểm cuối (endpoint) của ứng dụng MOVEit Transfer từ đó cho phép đối tượng tấn công chỉnh sửa và tiết lộ nội dung cơ sở dữ liệu của MOVEit.

Để ngăn chặn các cuộc tấn công, người dùng được khuyến cáo cần cập nhật ngay bản vá mới phát hành ngày 09/6/2023.