Кибератака на сервис обмена файлами MOVEit вполне может оказаться самым масштабным инцидентом в сфере информационной безопасности в этом году. По обновленным на прошлой неделе сведениям компании Emsisoft, число организаций, данные которых были украдены с использованием критической уязвимости в MOVEit, достигло 1000.
Этот же отчет содержит и грубую оценку количества пострадавших пользователей, чьи данные утекли в результате кибератак, — более 60 миллионов. Такой масштаб утечек связан с несколькими причинами. Во-первых, MOVEit внедряется на стороне организации, что позволяет по иронии соблюдать строгие требования по защите информации и не использовать обычные облачные сервисы. Это, в свою очередь, приводит к задержкам в установке патчей. Во-вторых, в ПО были обнаружены несколько серьезных уязвимостей подряд, причем как минимум одна из них уже эксплуатировалась на момент обнаружения.
Первая уязвимость в MOVEit была закрыта 31 мая этого года. Уязвимость с идентификатором CVE-2023-34362 относится к типу SQL Injection. Она открывала возможность практически полного доступа к базе данных сервиса без авторизации. Согласно некоторым исследователям, широкомасштабная атака на инсталляции MOVEit произошла 27-28 мая, за несколько дней до выпуска патча. Но, предположительно, попытки атаковать сервис для обмена файлами происходили еще в 2021 году.
В июле компания Progress Software, разработчик MOVEit, выпустила еще один патч, которым закрыла три уязвимости. Одна из них получила статус критической и также позволяла проводить SQL-инъекции c последующим перехватом контроля над базой данных. Злоумышленники похищали все файлы пострадавших организаций, хранившиеся в базе MOVEit, после чего требовали выкуп под угрозой слива информации в открытый доступ.
Наиболее серьезная утечка приватных данных произошла у компании Maximus, предоставляющей IT-услуги различным государственным структурам в США. Украденные у этой организации файлы содержали информацию об 11 миллионах пользователей. В утечку попали в том числе номера социального страхования. В отчете Emsisoft отдельно отмечается, что определить подлинный ущерб от взлома конкретной инсталляции MOVEit подчас очень сложно: условно говоря, если сервисом пользуется подрядчик третьего уровня, то утечка из одной базы может затронуть сразу множество организаций (как это и произошло в случае Maximus). Наиболее подробный технический разбор самой первой уязвимости опубликовала компания Rapid7 здесь.
Что еще произошло:
Google Workspace внедряет новую систему безопасности, при которой любое серьезное изменение требует одобрения сразу двумя администраторами системы. Теоретически это должно исключить взлом сервиса, когда атакующие получают доступ к одной учетной записи администратора.
В результате кибератаки на два хостинговых сервиса из Дании, CloudNordic и AzeroCloud, были потеряны все данные клиентов. На сайте CloudNordic предлагают восстанавливаться из собственных бэкапов или даже вытаскивать копии сайтов с сервисов типа Web Archive.
Серьезная уязвимость в WinRAR, о которой мы писали на прошлой неделе, использовалась в кибератаках с апреля этого года. Уязвимость позволяет создавать архивы, при распаковке которых происходит выполнение произвольного кода.
Этот же отчет содержит и грубую оценку количества пострадавших пользователей, чьи данные утекли в результате кибератак, — более 60 миллионов. Такой масштаб утечек связан с несколькими причинами. Во-первых, MOVEit внедряется на стороне организации, что позволяет по иронии соблюдать строгие требования по защите информации и не использовать обычные облачные сервисы. Это, в свою очередь, приводит к задержкам в установке патчей. Во-вторых, в ПО были обнаружены несколько серьезных уязвимостей подряд, причем как минимум одна из них уже эксплуатировалась на момент обнаружения.
Первая уязвимость в MOVEit была закрыта 31 мая этого года. Уязвимость с идентификатором CVE-2023-34362 относится к типу SQL Injection. Она открывала возможность практически полного доступа к базе данных сервиса без авторизации. Согласно некоторым исследователям, широкомасштабная атака на инсталляции MOVEit произошла 27-28 мая, за несколько дней до выпуска патча. Но, предположительно, попытки атаковать сервис для обмена файлами происходили еще в 2021 году.
В июле компания Progress Software, разработчик MOVEit, выпустила еще один патч, которым закрыла три уязвимости. Одна из них получила статус критической и также позволяла проводить SQL-инъекции c последующим перехватом контроля над базой данных. Злоумышленники похищали все файлы пострадавших организаций, хранившиеся в базе MOVEit, после чего требовали выкуп под угрозой слива информации в открытый доступ.
Наиболее серьезная утечка приватных данных произошла у компании Maximus, предоставляющей IT-услуги различным государственным структурам в США. Украденные у этой организации файлы содержали информацию об 11 миллионах пользователей. В утечку попали в том числе номера социального страхования. В отчете Emsisoft отдельно отмечается, что определить подлинный ущерб от взлома конкретной инсталляции MOVEit подчас очень сложно: условно говоря, если сервисом пользуется подрядчик третьего уровня, то утечка из одной базы может затронуть сразу множество организаций (как это и произошло в случае Maximus). Наиболее подробный технический разбор самой первой уязвимости опубликовала компания Rapid7 здесь.
Что еще произошло:
Google Workspace внедряет новую систему безопасности, при которой любое серьезное изменение требует одобрения сразу двумя администраторами системы. Теоретически это должно исключить взлом сервиса, когда атакующие получают доступ к одной учетной записи администратора.
В результате кибератаки на два хостинговых сервиса из Дании, CloudNordic и AzeroCloud, были потеряны все данные клиентов. На сайте CloudNordic предлагают восстанавливаться из собственных бэкапов или даже вытаскивать копии сайтов с сервисов типа Web Archive.
Серьезная уязвимость в WinRAR, о которой мы писали на прошлой неделе, использовалась в кибератаках с апреля этого года. Уязвимость позволяет создавать архивы, при распаковке которых происходит выполнение произвольного кода.
apevzner
Интересно, а что будет с индивидуальными аккаунтами, у которых администратор/пользователь физически один?