MOVEit 是檔案傳輸軟體，美國網路安全監管機關近期表示，駭客利用 MOVEit 存在的漏洞，對全球發動攻擊，數個美國聯邦政府機關也跟著受害。遭駭機關有英國電信主管機關 Ofcom、英國航空公司、Boots、西門子能源公司、施耐德電機、美國能源部和 BBC 等。Ofcom 聲稱雖然系統在攻擊期間沒有受到損害，但駭客設法訪問了它監管的組織和員工的訊息。

 

零時差漏洞遭到利用

 

MOVEit Transfer 在 2023 年 6 月 9 日發布的公告中表示 MOVEit Transfer Web App中發現了多個 SQL 注入漏洞，可能允許未經身份驗證的駭客訪問 MOVEit Transfer 數據庫。

 

這些版本的漏洞已在 MOVEit Transfer 版本 2021.0.7 (13.0.7)、2021.1.5 (13.1.5)、2022.0.5 (14.0.5)、2022.1.6 (14.1.6) 和 2023.0.2 (15.0.2)中得到修補。而操作勒索軟體 Clop 的駭客早在 2021 年 7 月就一直在嘗試利用利用零時差漏洞 ( CVE-2023-34362 ) 向 MOVEit Transfer 應用程式的端點提交特製的載荷，並至少從 2022 年 4 月起就設計了從受感染的 MOVEit 服務器提取數據的方法。微軟的情報團隊說明使用勒索軟體 Clop 的駭客隸屬於 Lace Tempest 的組織。

 

Clop 駭客宣稱，已利用該漏洞攻擊「數百家」企業及組織，如果未付贖金者將會被公布資料於其暗網網站上。然而 Clop駭客的說法無從確認，但安全廠商 Rapid 7偵測到，截至 5 月 31 日，有 2,500 多個 MOVEit Transfer 的執行個體曝露在開放網路上，大部分集中在美國。以產業而言，則涵括醫療、金融、保險、製造及政府部門。

 

但根據 Ofcom 聲明，駭客提取的數據僅包括員工姓名、員工編號、出生日期、電子郵件地址、家庭住址的第一行以及國家保險號碼等，並不涉及員工銀行訊息。

 

 

圖片來源：https://www.ofcom.org.uk/news-centre/2023/ofcom-statement-on-moveit-cyber-attack

 

參考資料：

 

1. MOVEit零時差漏洞攻擊竊走英國電信主管機關機密資料 ( 14 Jun 2023 )
   -https://www.ithome.com.tw/news/157328

2. MOVEit Hack – BBC, British Airways Employees Contact and Financial Data Exposed ( 7 Jun 2023 )
   -https://gbhackers.com/moveit-hack/amp/

3. New Critical MOVEit Transfer SQL Injection Vulnerabilities Discovered - Patch Now! ( 10 Jun 2023 )
   -https://thehackernews.com/2023/06/new-critical-moveit-transfer-sql.html

4. Ofcom Latest MOVEit Victim as Exploit Code Released ( 13 Jun 2023 )
   -https://www.infosecurity-magazine.com/news/ofcom-latest-moveit-victim-exploit/