Кибератака на сервис обмена файлами MOVEit вполне может оказаться самым масштабным инцидентом в сфере информационной безопасности в этом году. По обновленным на прошлой неделе сведениям компании Emsisoft, число организаций, данные которых были украдены с использованием критической уязвимости в MOVEit, достигло 1000.



Этот же отчет содержит и грубую оценку количества пострадавших пользователей, чьи данные утекли в результате кибератак, — более 60 миллионов. Такой масштаб утечек связан с несколькими причинами. Во-первых, MOVEit внедряется на стороне организации, что позволяет по иронии соблюдать строгие требования по защите информации и не использовать обычные облачные сервисы. Это, в свою очередь, приводит к задержкам в установке патчей. Во-вторых, в ПО были обнаружены несколько серьезных уязвимостей подряд, причем как минимум одна из них уже эксплуатировалась на момент обнаружения.

Первая уязвимость в MOVEit была закрыта 31 мая этого года. Уязвимость с идентификатором CVE-2023-34362 относится к типу SQL Injection. Она открывала возможность практически полного доступа к базе данных сервиса без авторизации. Согласно некоторым исследователям, широкомасштабная атака на инсталляции MOVEit произошла 27-28 мая, за несколько дней до выпуска патча. Но, предположительно, попытки атаковать сервис для обмена файлами происходили еще в 2021 году.

В июле компания Progress Software, разработчик MOVEit, выпустила еще один патч, которым закрыла три уязвимости. Одна из них получила статус критической и также позволяла проводить SQL-инъекции c последующим перехватом контроля над базой данных. Злоумышленники похищали все файлы пострадавших организаций, хранившиеся в базе MOVEit, после чего требовали выкуп под угрозой слива информации в открытый доступ.

Наиболее серьезная утечка приватных данных произошла у компании Maximus, предоставляющей IT-услуги различным государственным структурам в США. Украденные у этой организации файлы содержали информацию об 11 миллионах пользователей. В утечку попали в том числе номера социального страхования. В отчете Emsisoft отдельно отмечается, что определить подлинный ущерб от взлома конкретной инсталляции MOVEit подчас очень сложно: условно говоря, если сервисом пользуется подрядчик третьего уровня, то утечка из одной базы может затронуть сразу множество организаций (как это и произошло в случае Maximus). Наиболее подробный технический разбор самой первой уязвимости опубликовала компания Rapid7 здесь.

Что еще произошло:

Google Workspace внедряет новую систему безопасности, при которой любое серьезное изменение требует одобрения сразу двумя администраторами системы. Теоретически это должно исключить взлом сервиса, когда атакующие получают доступ к одной учетной записи администратора.

В результате кибератаки на два хостинговых сервиса из Дании, CloudNordic и AzeroCloud, были потеряны все данные клиентов. На сайте CloudNordic предлагают восстанавливаться из собственных бэкапов или даже вытаскивать копии сайтов с сервисов типа Web Archive.

Серьезная уязвимость в WinRAR, о которой мы писали на прошлой неделе, использовалась в кибератаках с апреля этого года. Уязвимость позволяет создавать архивы, при распаковке которых происходит выполнение произвольного кода.

Комментарии (1)


  1. apevzner
    29.08.2023 11:40

    Google Workspace внедряет новую систему безопасности, при которой любое серьезное изменение требует одобрения сразу двумя администраторами системы

    Интересно, а что будет с индивидуальными аккаунтами, у которых администратор/пользователь физически один?