iThome
论及2023年影响最为严重的漏洞,莫过于Progress旗下MFT档案共享系统MOVEit Transfer漏洞CVE-2023-34362,自该公司去年5月27日公布至今,在iThome有超过20篇新闻与之有关,以压倒性的程度,遥遥超越其他漏洞的曝光程度。
甚至到了今年3月,美国政府呼吁软体开发商,应该要在产品出货之前,检查是否存在SQL注入漏洞,也与这项漏洞引发的大规模攻击事故有关,这两年美国政府开始大力提倡软体开发安全,并提供各式的实作指引,但针对特定类型的漏洞,并拿出血淋淋的真实案例提出呼吁,这还是头一遭。
与先前的Accellion FTA、GoAnywhere事件相同,利用此漏洞的攻击事故,背后的攻击者都是勒索软体骇客Clop,但这次陆续浮出台面的受害组织,竟多达数百个,骇客分成多次公布名单,而且每次都引起不少关注。
另一方面,有别于过往事件证实受害的企业与政府机关,同时其档案共用系统也遭遇攻击,但这次出面公布遇害的组织,不少是因为IT服务供应商建置的MFT系统遭遇攻击,导致自己的内部资料外泄而出面公告。
特别的是,这项漏洞不只引起各界关注,美国政府也采取了多个罕见的措施。首先,联邦调查局宣布祭出千万美元奖金,要捉拿勒索软体骇客Clop的成员;再者,美国证券交易委员会(SEC)也在10月,传出要对Progress进行调查的情况。
而对于这起攻击事故造成的损失,当时Progress认为影响有限,根据他们的评估,由于旗下MFT系统的漏洞,产生约100万美元的费用,相关的保险理赔预期会进帐190万美元。但这份季报也谈到遇害客户的反应,他们表示,有23个组织、58名人士向他们提出法律诉讼,而有可能会产生赔偿费用。
根据研究机构KonBriefing汇整的资料,CVE-2023-34362漏洞攻击事发半年后,总共有超过2千个企业组织受害,影响范围涵盖32个国家,大部分受害组织位于美国。(图片来源/KonBriefing)
受害规模已扩大至超过2千个组织
我们曾在去年8月初,汇整因CVE-2023-34362造成的资安事故发生经过,当时研究机构KonBriefing根据新闻报导、骇客公布的名单、受害组织发出的声明,以及向美国地方政府或证券交易委员会(SEC)通报的资料,截至7月31日,他们确认有545个组织受害,约有3,270万至3,760万人遭受波及。
但事隔5个月,受害组织增加3倍、外泄资料笔数增加1倍──截至12月20日,有2,611个组织受害、约有8,510万至8,990万人个资流出。这样的现象,印证6月美国政府官员的推测,这项漏洞攻击事故的影响,将会持续扩大。
值得留意的是,资安业者Kroll发现,骇客早在2021年7月就找到CVE-2023-34362,并策画在完成GoAnywhere攻击之后,才进行本次的攻击行动。这意味著该漏洞曝露长达快2年的时间,骇客可能已经过充分的模拟和测试,最后才决定下手。
矫枉过正!厂商后续过于频繁发布漏洞公告,反而导致用户无所适从
虽然整起事件当中,骇客只有利用CVE-2023-34362,但这次Progress应变处理的可取之处在于,他们在事发之后随即寻求资安业者协助,检视MOVEit Transfer的程式码来改善安全。不过,频繁发布新漏洞的资安通告,也很可能让IT人员无所适从,疲于采取缓解措施,或是安装更新软体。
6月9日,Progress表示在资安业者Huntress的协助下,找到SQL注入漏洞CVE-2023-35036,CVSS风险评分为9.1,影响所有版本的MOVEit Transfer,该公司提供修补程式,并指出目前该漏洞尚未遭到利用。
事隔不到一周,Progress于15日又再度发布公告,针对新漏洞CVE-2023- 35708提出缓解措施,呼吁IT人员暂时停用所有HTTP与HTTPS流量,并在隔天发布了修补程式。基本上,此漏洞也是被列为危急层级的SQL注入漏洞,CVSS风险评分达到9.8。
值得留意的是,无论是CVE-2023-34362或CVE-2023-35708,Progress首度公布漏洞时,皆未取得CVE编号,也没提供CVSS评分,IT人员只能从公告的说明当中,得知该公司认定漏洞极为严重,难以判断要如何安排修补。