Language
Vittime di MOVEit SQL injection zero
CasaCasa > Notizia > Vittime di MOVEit SQL injection zero
ULTIME NOTIZIE

Vittime di MOVEit SQL injection zero

May 22, 2023

Sergey Nivens - stock.adobe.com

Molte organizzazioni stanno ora rivelando di essere state colpite da attacchi informatici originati da una vulnerabilità recentemente rivelata nel prodotto di trasferimento file MOVEit di Progress Software, che viene ampiamente sfruttata, anche da parte di operatori di ransomware.

Nelle ultime 24 ore, organizzazioni tra cui BBC, Boots e British Airways (BA) hanno confermato di essere state colpite, con la BBC che ha riferito allo staff che numeri di carta d'identità, date di nascita, indirizzi di casa e numeri di previdenza sociale sono stati compromessi nell'incidente. . Al personale della BA è stato anche detto che i loro dati bancari potrebbero essere stati rubati.

Nel caso di BA e altri l'incidente è iniziato tramite i sistemi di Zellis, un fornitore di servizi IT per i reparti buste paga e risorse umane. Un portavoce di Zellis ha confermato che un "piccolo numero" di clienti dell'organizzazione è stato colpito.

"Tutto il software di proprietà di Zellis non è interessato e non ci sono incidenti o compromissioni associati a qualsiasi altra parte del nostro patrimonio IT", ha affermato il portavoce.

"Una volta venuti a conoscenza di questo incidente, abbiamo agito immediatamente, disconnettendo il server che utilizza il software MOVEit e coinvolgendo un team esterno esperto di risposta agli incidenti di sicurezza per assistere con l'analisi forense e il monitoraggio continuo", hanno aggiunto.

Zellis ha affermato di aver informato le autorità competenti sia nel Regno Unito che in Irlanda, tra cui l'Information Commissioner's Office (ICO) e la Irish Data Protection Commission (DPC).

Un portavoce di BA ha dichiarato: "Siamo stati informati che siamo una delle società colpite dall'incidente di sicurezza informatica di Zellis avvenuto tramite uno dei loro fornitori terzi chiamato MOVEit. Zellis fornisce servizi di supporto paghe a centinaia di aziende nel Regno Unito, di cui noi siamo uno.

"Questo incidente è avvenuto a causa di una vulnerabilità nuova e precedentemente sconosciuta in uno strumento di trasferimento file MOVEit ampiamente utilizzato. Abbiamo avvisato i colleghi le cui informazioni personali sono state compromesse per fornire supporto e consulenza."

Si ritiene che la società madre di BA, IAG, stia lavorando per supportare coloro che potrebbero essere colpiti e ha anche segnalato l'incidente all'ICO di propria iniziativa.

Un portavoce del National Cyber ​​Security Centre (NCSC) del Regno Unito ha affermato che l'agenzia sta monitorando da vicino la situazione.

"Stiamo lavorando per comprendere appieno l'impatto del Regno Unito in seguito alle segnalazioni di una vulnerabilità critica che colpisce il software MOVEit Transfer che viene sfruttato", hanno affermato. "L'NCSC incoraggia fortemente le organizzazioni a intraprendere azioni immediate seguendo i consigli sulle migliori pratiche dei fornitori e applicando gli aggiornamenti di sicurezza consigliati."

Il prodotto software MOVEit per il trasferimento file gestito (MFT) è stato inizialmente sviluppato e rilasciato all'inizio degli anni 2000 da una società chiamata Standard Networks. Questa azienda è stata successivamente acquisita dallo specialista di software di rete Ipswitch, a sua volta acquistata da Progress nel 2019.

Mercoledì 31 maggio 2023, Progress ha annunciato di aver scoperto e risolto una vulnerabilità critica in MOVEit che ha avuto un impatto su tutti gli utenti del prodotto di trasferimento MOVEit.

Rilevato come CVE-2023-34362, il bug è una vulnerabilità SQL injection che potrebbe consentire a un attore non autenticato di accedere al database MOVEit Transfer dell'utente e, a seconda che utilizzi o meno MySQL, Microsoft SQL Server o Azure SQL come motore di database – dedurre informazioni sul contenuto del database ed eseguire istruzioni SQL che ne alterano o eliminano elementi.

Diverse società di sicurezza hanno monitorato lo sfruttamento di CVE-2023-34362 nella scorsa settimana, tra cui Microsoft, Mandiant e Rapid7.

Microsoft ha dichiarato di essere pronta ad attribuire gli attacchi che sfruttano la vulnerabilità a un attore di minacce che sta ora monitorando come Lace Tempest, un operatore di ransomware noto soprattutto per aver eseguito l'operazione Clop (aka Cl0p).

Cl0p è un ceppo di ransomware particolarmente virulento e i suoi operatori sono ampiamente noti per essere particolarmente parziali nei problemi che riguardano i processi di trasferimento dei file. All’inizio di quest’anno, erano dietro una serie di attacchi che sfruttavano una vulnerabilità nello strumento Fortra GoAnywhere MFT per attaccare i sistemi di oltre 90 vittime, inclusa la società di archiviazione e sicurezza Rubrik.