Picus Security analyserar CL0P-ransomwarens utnyttjande av MOVEit-sårbarhet
Picus Security har utvärderat CVE-2023-34362, en allvarlig sårbarhet i MOVEit Transfer som utnyttjas av CL0P ransomware. Attackerna kan leda till dataexfiltrering och fjärrkörning av kod.
Cybersäkerhetsföretaget Picus Security har publicerat en djupgående analys av sårbarheten CVE-2023-34362, som är kopplad till CL0P ransomware. Denna kritiska SQL-injektionsbrist i MOVEit Transfer-programvaran från Progress Software tillåter angripare att exfiltrera känsliga data och exekvera fjärrkod på drabbade system.
MOVEit Transfer är en hanterad filöverföringslösning som används av många stora organisationer, inklusive myndigheter och finansinstitutioner globalt, särskilt i USA. Säkerhetsinformation om CVE-2023-34362 släpptes i juni 2023, men de första attackerna dokumenterades redan i slutet av maj. Uppskattningsvis över 2500 MOVEit-servrar som är exponerade mot internet har identifierats, varav majoriteten finns i USA. Stora organisationer som BBC och British Airways har rapporterats vara bland de drabbade.
Enligt Picus Securitys analys använder CL0P-gruppen sårbarheten för att distribuera ett webbskal kallat LEMURLOOT. Detta skapar beständighet i offrens miljöer och möjliggör nedladdning av känsliga filer. Webbskalet, skrivet i C#, kräver autentisering via en speciell "header" med ett fördefinierat lösenord.
CL0P ransomware är känt för sin dubbla utpressningsmetod, där data stjäls innan den krypteras. Gruppen har tidigare varit associerad med storskaliga nätfiske-kampanjer som en del av TA505. Trots arresteringar av misstänkta medlemmar fortsätter hotbilden, vilket understryker vikten av kontinuerlig övervakning.
Picus Security erbjuder plattformar för att simulera realistiska attackscenarier, inklusive de som drivs av CL0P ransomware, för att hjälpa organisationer att testa och förbättra sina säkerhetskontroller mot verkliga cyberhot.