Softwareontwikkelaar Progress waarschuwt klanten opnieuw voor kritieke lekken in Moveit Transfer. Door middel van een SQL injection kan een ongeautoriseerde gebruiker de inhoud van de MOVEit Transfer database manipuleren en stelen. De ontwikkelaar adviseert klanten om de uitgebrachte patch zo snel mogelijk te installeren.
Dat meldt Progress in een recente Security Advisory.
Ontwikkelaar slaat alarm voor gevaarlijke zero-day exploit
MOVEit Transfer is een applicatie die veel commerciële partijen gebruiken om intern en onderling vertrouwelijke bestanden uit te wisselen. Eind mei wees de ontwikkelaar erop dat de toepassing een zero-day exploit bevatte. Ongeautoriseerde gebruikers konden door middel van een SQL injection de MOVEit Transfer database dusdanig manipuleren dat ze vertrouwelijke gegevens konden ontvreemden.
Doordat kwaadwillenden tevens admin-rechten hadden, konden ze inbreken in andere delen van bedrijfsnetwerken. De ontwikkelaar en het Nationaal Cyber Security Centrum (NCSC) adviseerden om een beveiligingsupdate te installeren en het netwerk te controleren op ongeoorloofde toegang en andere Indicators of Compromise (IoC).
Beveiligingsonderzoekers vinden drie nieuwe kritieke kwetsbaarheden
Na aanleiding van deze gebeurtenis hebben beveiligingsonderzoekers MOVEit Transfer onder een microscoop gelegd. Dat leidde tot meerdere kritieke kwetsbaarheden. De Service Pack van deze maand bevat patches voor drie nieuwe Common Vulnerabilities and Exposures (CVE). Het gaat om CVE-2023-36934, CVE-2023-36933 en CVE-2023-36932. De eerste kwetsbaarheid is aangemerkt als ‘critical’, de andere twee als ‘high’.
De eerstgenoemde exploit is een SQL injection kwetsbaarheid waardoor onbevoegden toegang kunnen krijgen tot de MOVEit Transfer database. “Een aanvaller zou een bewerkte payload kunnen verzenden naar een endpoint van de MOVEit Transfer-applicatie, wat zou kunnen leiden tot wijziging en openbaarmaking van de inhoud van de MOVEit-database”, zo waarschuwt de ontwikkelaar.
Progress raadt klanten aan om de meest recente Service Pack te installeren om de bovengenoemde beveiligingsproblemen te verhelpen. Verder belooft het bedrijf om vaker Service Packs uit te brengen voor MOVEit-producten.
Honderden organisaties slachtoffer van beveiligingslekken MOVEit Transfer
De Russische hackersgroep Clop claimt de kwetsbaarheden in MOVEit Transfer te hebben misbruikt om ‘honderden’ bedrijven en organisaties wereldwijd te beroven van vertrouwelijke informatie. Onder meer vliegtuigmaatschappijen British Airways en Aer Lingus, apotheekketen Boots, de Britse omroep BBC, de overheid van de Canadese provincie Nova Scotia, het Britse payrollbedrijf Zellis en de University of Rochester dat hackers via deze applicatie data hadden gestolen.
Landal GreenParks en Shell melden onlangs dat ze zijn getroffen door de beveiligingslekken in MOVEit Transfer. Het meest recente slachtoffer is Gen Digital, het moederbedrijf van onder meer Norton, Avast, Avira en AVG. Volgens beveiligingsonderzoeker Brett Callow heeft Clop sinds eind mei bij 238 organisaties toegeslagen en de gegevens van 17,5 miljoen mensen bemachtigd.
