GreyNoise
资安研究人员发现,2023年饱经骇客攻击的档案传输系统MOVEit,今年5月底骇客锁定其漏洞的活动又突然增加,并开始滥用MOVEit Transfer已知漏洞。
MOVEit是由Progress提供的知名安全档案传输系统,为许多企业使用来传送机密资料。但2023年5月资安厂商发现MOVEit Transfer一项漏洞CVE-2023-34362遭到Clop勒索软体等攻击者滥用,受害组织包括美国能源部等政府单位、壳牌石油、多家欧美银行及Amazon等超过600家,也引发美国政府关注,并呼吁企业小心。这段期间过后,MOVEit安全事件似乎暂告平息。
但资安厂商GreyNoise在5月间发现锁定MOVEit档案传输系统漏洞的扫瞄活动又开始增加。在5月底之前,漏洞扫瞄来源IP平均每天小于10个,但到了5月27日,骤增到100多个不重复IP,隔日又增加到319个,之后每天都在200到300个IP之间,令人担心是否攻击者又重新将焦点转回了MOVEit上。
GreyNoise并且发现在6月12日两个MOVEit Transfer已知漏洞出现低量试图滥用的迹象。两个漏洞中,一个是2023年被频繁攻击的CVE-2023-34362,另一个是CVE-2023-36934,二个皆为高风险SQL 注入漏洞,而厂商均已发布更新版软体修补。
这些事件发生于扫瞄活动升温期间,可能表示骇客正在验证目标或测试滥用,但GreyNoise尚未观察到广泛的滥用行为。
仔细分析这些来源IP,44%来自腾讯Tencent Cloud,是所有基础架构中最活跃的,其他来源还包括Cloudflare、Amazon和Google。由来源IP集中於单一自主系统编号(Autonomous System Numbers,ASN)来看,漏洞扫瞄活动是刻意为之,且有程式管理,而非随机或分散式刺探而已。论及扫瞄器IP,则绝大部份位于美国。扫瞄活动的主要目的地分别位于英、美、德、法及墨西哥。
资安厂商提醒企业采取以下步骤防范骇客,包括封锁恶意和可疑IP呼叫,检查是否有任何MOVEit Transfer系统对外曝露,为二个漏洞安装修补程式,并且监看任何针对MOVEit Transfer的攻击活动。