安全研究人员发现,2023年饱经黑客攻击的文件传输系统MOVEit,今年5月底黑客锁定其漏洞的活动又突然增加,并开始滥用MOVEit Transfer已知漏洞。
MOVEit是由Progress提供的知名安全文件传输系统,为许多企业使用来发送机密数据。但2023年5月安全厂商发现MOVEit Transfer一项漏洞CVE-2023-34362遭到Clop勒索软件等攻击者滥用,受害组织包括美国能源部等政府单位、壳牌石油、多家欧美银行及Amazon等超过600家,也引发美国政府关注,并呼吁企业小心。这段期间过后,MOVEit安全事件似乎暂告平息。
但安全厂商GreyNoise在5月间发现锁定MOVEit文件传输系统漏洞的扫描活动又开始增加。在5月底之前,漏洞扫描来源IP平均每天小于10个,但到了5月27日,骤增到100多个不重复IP,隔日又增加到319个,之后每天都在200到300个IP之间,令人担心是否攻击者又重新将焦点转回了MOVEit上。
GreyNoise并且发现在6月12日两个MOVEit Transfer已知漏洞出现低量试图滥用的迹象。两个漏洞中,一个是2023年被频繁攻击的CVE-2023-34362,另一个是CVE-2023-36934,二个皆为高风险SQL注入漏洞,而厂商均已发布更新版软件修补。
这些事件发生于扫描活动升温期间,可能表示黑客正在验证目标或测试滥用,但GreyNoise尚未观察到广泛的滥用行为。
仔细分析这些来源IP,44%来自腾讯Tencent Cloud,是所有基础架构中最活跃的,其他来源还包括Cloudflare、Amazon和Google。由来源IP集中于单一自主系统编号(Autonomous System Numbers,ASN)来看,漏洞扫描活动是刻意为之,且有程序管理,而非随机或分布式刺探而已。论及扫描仪IP,则绝大部分位于美国。扫描活动的主要目的地分别位于英、美、德、法及墨西哥。
安全厂商提醒企业采取以下步骤防范黑客,包括封锁恶意和可疑IP调用,检查是否有任何MOVEit Transfer系统对外暴露,为二个漏洞安装修补程序,并且监看任何针对MOVEit Transfer的攻击活动。
