Durante l’indagine relativa all’exploit che sfrutta la vulnerabilità CVE-2023-34362, Progress Software e gli esteri di Huntress hanno scoperto altre vulnerabilità in MOVEit Transfer e MOVEit Cloud. Intanto i cybercriminali hanno già colpito diverse aziende, tra cui BBC, British Airways e Aer Lingus.
Nuove vulnerabilità in MOVEit Transfer
Progress Software spiega nel bollettino di sicurezza che sono state individuate multiple vulnerabilità di tipo SQL Injection nell’applicazione web MOVEit Transfer. I cybercriminali potrebbero sfruttarle per ottenere l’accesso non autorizzato e senza autenticazione al database.
Iniettando codice SQL nei server è quindi possibile estrarre i dati, modificarli o cancellarli. È inoltre possibile eseguire codice arbitrario che, nel caso del gruppo Lace Tempest (identificato da Microsoft), significa installare il ransomware Clop. Progress Software non ha rilevato exploit per le nuove vulnerabilità, ma consiglia di aggiornare tutte le versioni di MOVEit Transfer. Gli utenti possono effettuare l’installazione completa o sostituire le DLL vulnerabili con quelle nuove.
I cybercriminali di origine russa hanno già effettuato attacchi contro centinaia di aziende che usano MOVEit Transfer. Una di esse è Zellis, società inglese che si occupa di gestione dei pagamenti per i dipendenti. Dopo aver effettuato l’accesso al database, il gruppo Lace Tempest ha rubato i dati di BBC, British Airways e Aer Lingus (clienti di Zellis). Se non pagheranno il riscatto, tutte le informazioni verranno pubblicate online.