美国Progress Software公司旗下产品MOVEit的零日漏洞曝光近两月,目前已公开的受害机构逼近400家,其中有多家属于服务商,又向大量下游机构提供服务,或将放大攻击影响。

安全内参7月21日消息,利用MOVEit文件传输软件漏洞实施的大规模软件供应链攻击已经进入第七周,受害者数量和损失持续攀升。

今年5月下旬,俄罗斯勒索软件组织Clop利用美国Progress Software公司旗下产品MOVEit的一个安全漏洞,从易受攻击网络中窃取大批文件。截至目前,已有近400家组织受到影响,其中不乏美国能源部等联邦机构、能源巨头壳牌、德意志银行、普华永道、零售巨头TJX等知名公司机构。

零日漏洞曝光近两月,受害机构逼近400家

零售巨头TJX在7月19日确认:“在Progress通知我们该漏洞之前,一些文件已被未经授权的第三方下载。”TJX拥有TJ Maxx、Marshalls、HomeGoods、HomeSense和Sierra等多个零售品牌。

虽然公司遭到攻击影响,TJX发言人强调:“我们认为TJX系统中没有任何客户或员工个人信息被未经授权用户访问,攻击未对TJX造成任何重大影响。”

拥有20多个美容品牌的雅诗兰黛公司也可能是受害者。Clop团伙在其泄露网站上列出该公司信息。雅诗兰黛也于同一天披露了“网络安全事件”。

据网络安全厂商Emsisoft统计,截至7月19日,共有383家组织和超过2千万个人遭受这次攻击。该统计的数据来源包括泄露通知、美国证券交易委员会(SEC)公告、其他公开数据及Clop团伙的泄露网站。

Emsisoft团队指出,一些受到MOVEit漏洞影响的公司为许多其他组织提供服务。

例如,Clop利用了英国薪资服务提供商Zellis部署的MOVEit工具。该公司客户众多,包括英国航空公司、英国广播公司(BBC)和英国博姿连锁药店。结果,俄罗斯黑客团伙利用MOVEit软件漏洞窃取了这些公司的员工记录。据Emsisoft报道,另一家MOVEit用户美国学生信息中心,与美国3500多所学校合作,处理1710万名学生的信息。因此,受害者的总数很可能会继续增长。

Emsisoft威胁分析师Brett Callow表示:“虽然严重性不及SolarWinds事件,这依然是近年来规模最大的黑客事件之一。后续需对数百万人进行信用监控、引发无数诉讼,损失将极其巨大。”

Progress Software公司目前面临多起指控,控方认为MOVEit漏洞是安全性不足所致。据《华尔街日报》消息,相关诉讼至少有13起。

Emsisoft补充道:“更糟糕的是,被窃取信息有极大可能遭到滥用。不单单是Cl0p团伙可能滥用这些信息。一旦信息在网上公开,全球的网络犯罪分子都可以将这些信息用于商业电子邮件欺诈、身份欺诈。”

Progress Software公司拒绝回答有多少组织受到MOVEit漏洞影响。

该公司一位发言人表示:“我们会继续专注于客户支持。Emsisoft报告表明,频繁和透明的更新有助于鼓励客户迅速应用我们发布的漏洞补丁。我们将继续与行业领先的网络安全专家合作,调查攻击事件,确保采取适当的应对措施。据我们目前所知,5月31日漏洞之后发现的漏洞没有被大幅滥用。”

自5月底以来,其他漏洞陆续被发现。

漏洞曝光时间线

5月31日披露的首个漏洞是SQL注入漏洞。次日,Progress Software修补该漏洞,标记为CVE-2023-34362。

6月9日,第二个漏洞CVE-2023-35036被发现,并于次日被修复。

6月15日,Progress Software披露了第三个漏洞CVE-2023-35708。

最后(我们希望是),7月5日,又有三个漏洞CVE-2023-36934、CVE-2023-36932、CVE-2023-36933被发现并得到修复。

网络安全评级公司Bitsight表示,虽然受害者数量不断增加,但是易受攻击的组织在修补MOVEit漏洞方面表现相当不错。

本周四,Bitsight研究员Noah Stone在博客写道:5月31日漏洞披露以来,“易受CVE-2023-34362攻击的组织数量已经减少,至少77%最初受影响的组织现在不再易受攻击,而最初受影响的组织中至多还有23%仍然存在漏洞。后续披露的CVE漏洞,易受攻击的组织比率更高。”

更多组织仍然容易受到本月早些时候披露的三个最新漏洞的攻击,这并不令人意外。Noah Stone表示:“最初受到较新CVE漏洞攻击的组织中,至多有56%仍然容易受到攻击。”

Huntress公司的威胁猎人发现了第2个MOVEit漏洞。该公司高级安全研究员John Hammond表示,这类供应链攻击对犯罪分子越来越具有吸引力,因为它们可以为攻击者带来更多利益。

John Hammond表示:“不论是像MOVEit Transfer这样的攻击,还是过去的重大入侵案例,比如Kaseya VSA勒索软件事件、SolarWinds漏洞利用事件,所有攻击都对软件供应链有影响。这大幅提高了潜在受害者数量,影响了下游组织和供应商/消费者关系。对黑客来说,这种一对多的影响非常有吸引力。这也是供应链威胁如此阴险的原因。”

当然,John Hammond指出,这类入侵意味着“威胁行为者发起的每次攻击都是一次性的。下游受害者遭受损失后,机会就不复存在,攻击者必须重新发动攻击。”