Lace Tempest/Clop-Ransomware-Gang nutzt MOVEit Schwachstelle CVE-2023-34362

Sicherheit (Pexels, allgemeine Nutzung)[English]Seit einigen Tagen ist die SQL-Injection-Schwachstelle CVE-2023-34362 in der Managed File Transfer (MFT)-Lösung MOVEit bekannt. Diese Schwachstelle wird von Angreifer seit einiger Zeit ausgenutzt und Sicherheitsbehörden warnen inzwischen vor den Risiken ungepatchter Systeme. Microsoft hat nun offen gelegt, dass die Schwachstelle inzwischen im Fokus der Lace Tempest Hackergruppe steht, die für die Clop-Ransomware-Gang aktiv ist.


Anzeige

MOVEit Schwachstelle CVE-2023-34362

In der Managed File Transfer (MFT)-Lösung MOVEit gibt es eine Schwachstelle, die eine Ausweitung von Privilegien und den unberechtigten Zugriff auf die Umgebung der Software ermöglicht. Bei CVE-2023-34362 handelt es sich um eine SQL Injection-Schwachstelle in der MOVEit Transfer-Webanwendung. Diese Schwachstelle könnte es einem nicht authentifizierten Angreifer ermöglichen, unbefugten Zugriff auf die Datenbank von MOVEit Transfer zu erlangen.

Der Anbieter der Software, das US-Unternehmens Progress Software Corporation hat zum 31. Mai 2023 einen Sicherheitshinweise zur Schwachstelle veröffentlicht. Ich hatte im Blog-Beitrag Bedrohungsstufe 4: BSI-Warnung vor ausgenutzter MOVEit-Schwachstelle über diese Schwachstelle, vor der das BSI inzwischen warnt, berichtet. Neben dem BSI warnen auch weitere Cyber-Sicherheitsbehörden weltweit vor dieser Schwachstelle. Die Kollegen von Bleeping Computer berichten hier, dass die US-Sicherheitsbehörde CISA die US-Behörden aufgefordert hat, die Schwachstelle bis zum 23. Juni 2023 zu patchen.

MOVEit ist eine Managed File Transfer (MFT)-Software, die eine Übertragung von Dateien zwischen verschiedenen Rechnern ermöglicht. Entwickelt wird die Software von Ipswitch, einer Tochtergesellschaft des US-Unternehmens Progress Software Corporation. MOVEit ist häufig in Firmen im Einsatz, um Dateien zwischen Kunden oder Geschäftspartnern per Internet auszutauschen. Dabei werden Uploads über die Protokolle SFTP, SCP und HTTP unterstützt, um die Dateien sicher zu übertragen.

Microsoft: Lace Tempest/Clop nutzen das

Die Schwachstelle scheint seit einiger Zeit durch Cyberkriminelle für die Entwendung von Informationen ausgenutzt zu werden. Gerade ist mir auf Twitter diese Meldung untergekommen, wo eine SQL-Datenbank infiziert wurde.

MOVEit vulnerability CVE-2023-34362

Ergänzung: Hammond hat zum 6.6.2023 die neueste Entdeckung auf Twitter gepostet. Inzwischen schreibt Microsoft die Angriffe über die Sicherheitslücke CVE-2023-34362 auf MOVEit-Instanzen der Hackergruppe Lace Tempest zu, die für Ransomware-Operationen bekannt ist und die Erpresser-Website Clop betreibt.

Der Bedrohungsakteur habe in der Vergangenheit ähnliche Schwachstellen genutzt, um Daten zu stehlen und Opfer zu erpressen, heißt es von Microsoft. Nach der Ausnutzung der Schwachstelle wird häufig eine Web-Shell mit Datenexfiltrationsfunktionen installiert. CVE-2023-34362 ermöglicht es Angreifern, sich als beliebiger Benutzer zu authentifizieren. Lace Tempest (Storm-0950, überschneidet sich mit FIN11, TA505) authentifiziert sich als der Benutzer mit den höchsten Rechten, um Dateien auf den Opfersystemen zu exfiltrieren.

Microsoft fordert Unternehmen, die von der Sicherheitslücke CVE-2023-34362 in MOVEit Transfer betroffen sind, dringend auf, Sicherheits-Patches anzuwenden und die von Progress in ihrem Sicherheitshinweis genannten Maßnahmen zur Schadensbegrenzung durchzuführen. Die Kollegen von Bleeping Computer haben hier ebenfalls einige Informationen zusammen getragen.


Anzeige

Ähnliche Artikel:
Bedrohungsstufe 4: BSI-Warnung vor ausgenutzter MOVEit-Schwachstelle
Lace Tempest/Clop-Ransomware-Gang nutzt MOVEit Schwachstelle CVE-2023-34362
MOVEit-Schwachstelle tangiert 100 deutsche Firmen, AOKs von Datenabfluss betroffen?


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.