受害機構將近400家，影響超2千萬人，MOVEit漏洞影響正在擴大！

美國Progress Software公司旗下產品MOVEit的零日漏洞曝光近兩月，目前已公開的受害機構逼近400家，其中有多家屬于服務商，又向大量下游機構提供服務，或將放大攻擊影響。

安全內參7月21日消息，利用MOVEit文件傳輸軟件漏洞實施的大規模軟件供應鏈攻擊已經進入第七周，受害者數量和損失持續攀升。

今年5月下旬，俄羅斯勒索軟件組織Clop利用美國Progress Software公司旗下產品MOVEit的一個安全漏洞，從易受攻擊網絡中竊取大批文件。截至目前，已有近400家組織受到影響，其中不乏美國能源部等聯邦機構、能源巨頭殼牌、德意志銀行、普華永道、零售巨頭TJX等知名公司機構。

零日漏洞曝光近兩月，受害機構逼近400家

零售巨頭TJX在7月19日確認：“在Progress通知我們該漏洞之前，一些文件已被未經授權的第三方下載。”TJX擁有TJ Maxx、Marshalls、HomeGoods、HomeSense和Sierra等多個零售品牌。

雖然公司遭到攻擊影響，TJX發言人強調：“我們認為TJX系統中沒有任何客戶或員工個人信息被未經授權用戶訪問，攻擊未對TJX造成任何重大影響。”

擁有20多個美容品牌的雅詩蘭黛公司也可能是受害者。Clop團伙在其泄露網站上列出該公司信息。雅詩蘭黛也于同一天披露了“網絡安全事件”。

據網絡安全廠商Emsisoft統計，截至7月19日，共有383家組織和超過2千萬個人遭受這次攻擊。該統計的數據來源包括泄露通知、美國證券交易委員會（SEC）公告、其他公開數據及Clop團伙的泄露網站。

Emsisoft團隊指出，一些受到MOVEit漏洞影響的公司為許多其他組織提供服務。

例如，Clop利用了英國薪資服務提供商Zellis部署的MOVEit工具。該公司客戶眾多，包括英國航空公司、英國廣播公司（BBC）和英國博姿連鎖藥店。結果，俄羅斯黑客團伙利用MOVEit軟件漏洞竊取了這些公司的員工記錄。據Emsisoft報道，另一家MOVEit用戶美國學生信息中心，與美國3500多所學校合作，處理1710萬名學生的信息。因此，受害者的總數很可能會繼續增長。

Emsisoft威脅分析師Brett Callow表示：“雖然嚴重性不及SolarWinds事件，這依然是近年來規模最大的黑客事件之一。后續需對數百萬人進行信用監控、引發無數訴訟，損失將極其巨大。”

Progress Software公司目前面臨多起指控，控方認為MOVEit漏洞是安全性不足所致。據《華爾街日報》消息，相關訴訟至少有13起。

Emsisoft補充道：“更糟糕的是，被竊取信息有極大可能遭到濫用。不單單是Cl0p團伙可能濫用這些信息。一旦信息在網上公開，全球的網絡犯罪分子都可以將這些信息用于商業電子郵件欺詐、身份欺詐。”

Progress Software公司拒絕回答有多少組織受到MOVEit漏洞影響。

該公司一位發言人表示：“我們會繼續專注于客戶支持。Emsisoft報告表明，頻繁和透明的更新有助于鼓勵客戶迅速應用我們發布的漏洞補丁。我們將繼續與行業領先的網絡安全專家合作，調查攻擊事件，確保采取適當的應對措施。據我們目前所知，5月31日漏洞之后發現的漏洞沒有被大幅濫用。”

自5月底以來，其他漏洞陸續被發現。

漏洞曝光時間線

5月31日披露的首個漏洞是SQL注入漏洞。次日，Progress Software修補該漏洞，標記為CVE-2023-34362。

6月9日，第二個漏洞CVE-2023-35036被發現，并于次日被修復。

6月15日，Progress Software披露了第三個漏洞CVE-2023-35708。

最后（我們希望是），7月5日，又有三個漏洞CVE-2023-36934、CVE-2023-36932、CVE-2023-36933被發現并得到修復。

網絡安全評級公司Bitsight表示，雖然受害者數量不斷增加，但是易受攻擊的組織在修補MOVEit漏洞方面表現相當不錯。

本周四，Bitsight研究員Noah Stone在博客寫道：5月31日漏洞披露以來，“易受CVE-2023-34362攻擊的組織數量已經減少，至少77%最初受影響的組織現在不再易受攻擊，而最初受影響的組織中至多還有23%仍然存在漏洞。后續披露的CVE漏洞，易受攻擊的組織比率更高。”

更多組織仍然容易受到本月早些時候披露的三個最新漏洞的攻擊，這并不令人意外。Noah Stone表示：“最初受到較新CVE漏洞攻擊的組織中，至多有56%仍然容易受到攻擊。”

Huntress公司的威脅獵人發現了第2個MOVEit漏洞。該公司高級安全研究員John Hammond表示，這類供應鏈攻擊對犯罪分子越來越具有吸引力，因為它們可以為攻擊者帶來更多利益。

John Hammond表示：“不論是像MOVEit Transfer這樣的攻擊，還是過去的重大入侵案例，比如Kaseya VSA勒索軟件事件、SolarWinds漏洞利用事件，所有攻擊都對軟件供應鏈有影響。這大幅提高了潛在受害者數量，影響了下游組織和供應商/消費者關系。對黑客來說，這種一對多的影響非常有吸引力。這也是供應鏈威脅如此陰險的原因。”

當然，John Hammond指出，這類入侵意味著“威脅行為者發起的每次攻擊都是一次性的。下游受害者遭受損失后，機會就不復存在，攻擊者必須重新發動攻擊。”