Jannah Theme License is not validated, Go to the theme options page to validate the license, You need a single license for each domain name.
أخبار التقنية

الاستغلال الجماعي لعيب MOVEit الحرج ينهب الأعضاء الكبيرة والصغيرة


GettyImages

تقع المنظمات الكبيرة والصغيرة فريسة للاستغلال الجماعي لثغرة خطيرة في برنامج نقل الملفات واسع الاستخدام. بدأ الاستغلال خلال عطلة يوم الذكرى – بينما كانت نقطة الضعف الحرجة لا تزال صفرًا – وتستمر الآن ، بعد حوالي تسعة أيام.

اعتبارًا من مساء يوم الاثنين ، عُرف أن خدمة كشوف المرتبات Zellis ، ومقاطعة نوفا سكوشا الكندية ، والخطوط الجوية البريطانية ، وبي بي سي ، وشركة بوتس البريطانية ، قد سُرقت بياناتها من خلال الهجمات ، والتي تغذيها ثغرة أمنية تم تصحيحها مؤخرًا في MOVEit ، مزود نقل الملفات الذي يقدم الخدمات السحابية والمحلية. تعرضت كل من نوفا سكوشا وزيليس لخرق مثيلاتها أو خدماتها السحابية. كانت الخطوط الجوية البريطانية ، وبي بي سي ، وبوتس من عملاء زيليس. نُسبت جميع أنشطة القرصنة إلى نقابة الجريمة الناطقة بالروسية.

منتشر وكبير نوعا ما

على الرغم من العدد الصغير نسبيًا للانتهاكات المؤكدة ، يصف الباحثون الذين يراقبون الهجمات المستمرة الاستغلال بأنه واسع الانتشار. إنهم يشبهون عمليات الاختراق بسرقات التحطيم والاستيلاء ، حيث يتم كسر نافذة ويمسك اللصوص بكل ما في وسعهم ، ويحذرون من أن عمليات السرقة سريعة الحركة تصيب البنوك والوكالات الحكومية وأهداف أخرى بأعداد كبيرة تنذر بالخطر.

كتب ستيفن أدير ، رئيس شركة الأمن Volexity ، في رسالة بريد إلكتروني: “لدينا عدد قليل من العملاء الذين كانوا يديرون MOVEit Transfer مفتوحًا على الإنترنت ، وقد تعرضوا جميعًا للخطر”. الأشخاص الآخرون الذين تحدثنا إليهم رأوا نفس الشيء.

تابع أدير:

لا أريد تصنيف عملائنا في هذه المرحلة لأنني لا أعرف ما هو كل شيء من حيث من يقوم بتشغيل البرنامج ومنحه. ومع ذلك ، فإن المنظمات الضخمة والصغيرة على حد سواء هي التي تعرضت للضرب. تضمنت جميع الحالات التي نظرنا فيها مستوى معينًا من استخراج البيانات. عادةً ما ينتزع المهاجمون الملفات من خوادم MOVEit بعد أقل من ساعتين من الاستغلال والوصول إلى shell. نعتقد أن هذا كان على نطاق واسع على الأرجح وأن عددًا كبيرًا من خوادم MOVEit Transfer التي كانت تشغل خدمات الويب المواجهة للإنترنت قد تم اختراقها.

قالت كيتلين كوندون ، كبيرة مديري الأبحاث الأمنية التي تقود الذراع البحثية لشركة Rapid7 الأمنية ، إن فريقها عادة ما يحتفظ بمصطلح “تهديد واسع النطاق” للأحداث التي تشمل “العديد من المهاجمين ، والعديد من الأهداف”. الهجمات الجارية ليس لها أي منهما. حتى الآن لا يوجد سوى مهاجم واحد معروف: Clop ، وهي مجموعة ناطقة بالروسية من بين أكثر الفاعلين انتشارًا ونشاطًا في برامج الفدية. ومع قيام محرك البحث Shodan بفهرسة 2510 من حالات MOVEit التي تواجه الإنترنت فقط عندما بدأت الهجمات ، فمن العدل القول أنه لا توجد “أهداف كثيرة” نسبيًا.

ومع ذلك ، في هذه الحالة ، يقوم Rapid7 بعمل استثناء.

“لا نرى الجهات الفاعلة في تهديد السلع الأساسية أو المهاجمين ذوي المهارات المنخفضة يرمون الثغرات هنا ، ولكن استغلال الأهداف عالية القيمة المتاحة على مستوى العالم عبر مجموعة واسعة من أحجام المؤسسات والعمودية والمواقع الجغرافية يساعدنا على تصنيف هذا كتهديد واسع الانتشار “، أوضحت في رسالة نصية.

وأشارت إلى أن يوم الاثنين هو يوم العمل الثالث الوحيد منذ أن أصبح الحادث معروفًا على نطاق واسع وأن العديد من الضحايا قد يعلمون الآن فقط أنهم تعرضوا للخطر. وكتبت: “نتوقع أن نرى قائمة أطول بالضحايا تظهر مع مرور الوقت ، لا سيما عندما تدخل المتطلبات التنظيمية للإبلاغ حيز التنفيذ”.

وفي الوقت نفسه ، الباحث المستقل كيفين بومونت ، قال على وسائل التواصل الاجتماعي ليلة الأحد: “كنت أتتبع هذا – هناك عدد مزدوج من المؤسسات التي سُرقت بياناتها ، بما في ذلك العديد من المؤسسات الحكومية والمصرفية الأمريكية.”

تنبع ثغرة MOVEit من ثغرة أمنية تسمح بحقن SQL ، وهي واحدة من أقدم وأشهر فئات الثغرات. غالبًا ما يتم اختصارها باسم SQLi ، وتنبع هذه الثغرات الأمنية عادةً من فشل أحد تطبيقات الويب في مسح استعلامات البحث وإدخال المستخدم الآخر للأحرف التي قد يعتبرها التطبيق أمرًا. من خلال إدخال سلاسل مصممة خصيصًا في حقول مواقع الويب المعرضة للخطر ، يمكن للمهاجمين خداع تطبيق ويب لإعادة البيانات السرية ، أو منح امتيازات النظام الإداري ، أو تخريب طريقة عمل التطبيق.

الجدول الزمني

وبحسب منشور نشرته شركة الأمن مانديانت يوم الاثنين ، فإن أولى العلامات على فورة استغلال Clop حدثت في 27 مايو. وفي بعض الحالات ، حدثت سرقة البيانات في غضون دقائق من تثبيت Webshell المخصص الذي تم تعقبه باسم LemurLoot ، كما قال الباحثون. اضافوا:

Mandiant على علم بالعديد من الحالات التي تمت فيها سرقة كميات كبيرة من الملفات من أنظمة نقل الضحايا MOVEit. يمكن لـ LEMURLOOT أيضًا سرقة معلومات Azure Storage Blob ، بما في ذلك بيانات الاعتماد ، من إعدادات تطبيق MOVEit Transfer ، مما يشير إلى أن الجهات الفاعلة التي تستغل هذه الثغرة الأمنية قد تسرق الملفات من Azure في الحالات التي يقوم فيها الضحايا بتخزين بيانات الجهاز في تخزين Azure Blob ، على الرغم من أنه من غير الواضح ما إذا كانت السرقة يقتصر على البيانات المخزنة بهذه الطريقة.

يتم إخفاء Webshell بأسماء ملفات مثل “human2.aspx” و “human2.aspx.lnk” في محاولة للتنكر كـ human.aspx ، وهو مكون شرعي لخدمة MOVEit Transfer. وقالت Mandiant أيضًا إنها “لاحظت العديد من طلبات POST التي تم تقديمها إلى ملف وصول الضيف الشرعي. aspx قبل التفاعل مع LEMURLOOT webshell ، مما يشير إلى أن هجمات SQLi كانت موجهة نحو هذا الملف.”

في 31 مايو ، بعد أربعة أيام من بدء الهجمات الأولى ، قام موفر MOVEit Progress بتصحيح الثغرة الأمنية. في غضون يوم واحد ، ظهرت منشورات على وسائل التواصل الاجتماعي تفيد بأن الثغرة الأمنية كانت تحت الاستغلال من قبل ممثل تهديد كان يقوم بتثبيت ملف اسمه human2. aspx في الدليل الجذر للخوادم المعرضة للخطر. وسرعان ما أكدت شركات الأمن هذه التقارير.

الإسناد الرسمي إلى أن كلوب يقف وراء الهجمات جاء يوم الأحد من شركة مايكروسوفت التي مرتبط الهجمات على “Lace Tempest” ، وهو الاسم الذي يستخدمه باحثو الشركة لتتبع عملية برامج الفدية التي تحافظ على موقع الابتزاز لمجموعة Clop ransomware. في غضون ذلك ، وجد Mandiant أن التكتيكات والتقنيات والإجراءات المستخدمة في الهجوم تتطابق مع تلك التي تتبعها مجموعة متتبعة باسم FIN11 ، والتي نشرت Clop ransomware في الماضي.

Clop هو نفس ممثل التهديد الذي استغل بشكل جماعي CVE-2023-0669 ، وهي ثغرة خطيرة في خدمة نقل ملفات مختلفة تُعرف باسم GoAnywhere. سمحت فورة القرصنة هذه لشركة Clop بإسقاط شركة أمن البيانات Rubik ، والحصول على معلومات صحية لمليون مريض من واحدة من أكبر سلاسل المستشفيات ، و (وفقًا لـ Bleeping Computer) أخذ الفضل في اختراق 130 منظمة. أكدت الأبحاث التي أجرتها شركة الأمن Huntress أيضًا أن البرامج الضارة المستخدمة في عمليات التطفل التي تستغل CVE-2023-0669 كانت لها روابط غير مباشرة مع Clop.

حتى الآن ، لا توجد تقارير معروفة عن ضحايا يتلقون طلبات فدية. ولم يذكر موقع الابتزاز التابع للنادي أي ذكر للهجمات حتى الآن. كتب باحثون من مانديانت: “إذا كان الهدف من هذه العملية هو الابتزاز ، فإننا نتوقع أن تتلقى منظمات الضحايا رسائل بريد إلكتروني ابتزاز في الأيام أو الأسابيع المقبلة”.



مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى

What Are the Secrets Behind Billy Gardell’s Weight Loss in 2024? 5 Scientifically-Backed Ways to Lose Weight Best Appetite Suppressants for Hunger Control and Weight Loss in 2022 Top 5 Christina Aguilera Weight Loss Secrets: What Worked for Her Do Keto ACV Gummies Really Work? A Comprehensive Look Honest and Comprehensive Review of Biopure Keto Gummies Where to Buy Keto Gummies: Your Guide to the Best Products Your Guide to Walmart Keto ACV Gummies: Benefits, Reviews, and More! How Slim Plus Keto ACV Gummies Can Transform Your Weight Loss Journey Transform Your Body with Ripped Results Keto Gummies: The Tasty Way to Keto Success The Ultimate Guide to Total Fit Keto ACV Gummies for Weight Loss The Ultimate Guide to 1st Choice Keto + ACV Gummies The Ultimate Guide to Optimal Keto + ACV Gummies: Benefits and Usage Unraveling the Truth Behind ProFast Keto ACV Gummies: A Comprehensive Review Why You Need Keto and ACV Gummies: Discover Their Benefits Is the Keto + ACV Gummies Scam Real? Let’s Investigate! How Jonah Hill’s Weight Loss Journey Transformed in 2024 Why Anant Ambani’s Weight Loss Approach Worked: Detailed Insights and Methods How Jelly Roll’s 2024 Weight Loss Journey Transformed His Life Kelly Clarkson Weight Loss Secrets: How She Did It in 2024 Simple and Easy Tips from Melissa McCarthy’s Weight Loss Success Best Peptides for Weight Loss in 2024: Easy Choices, Proven Solutions, and Benefits How Lizzo’s Weight Loss Journey Evolved in 2024: Facts and Insights How Rebel Wilson Achieved Her Weight Loss Goals: Steps and Secrets Ultimate Facts About Weight Loss Drugs for Alzheimer’s: Latest 2024 Analysis Berberine Weight Loss: Latest Insights & Benefits for 2024 Why Semaglutide Dosage Matters for Effective Weight Loss: Tips and Insights Leanbean Review 2022: Ingredients, Effectiveness, and Side Effects