أطلق المتسللون موجة أخرى من الاختراقات الجماعية التي تستهدف أدوات نقل ملفات الشركة

يدق الباحثون الأمنيون ناقوس الخطر بعد أن تم القبض على متسللين يستغلون ثغرة أمنية تم اكتشافها حديثًا في أداة نقل ملفات شائعة تستخدمها آلاف المنظمات لإطلاق موجة جديدة من هجمات اختراق البيانات الجماعية.

تؤثر الثغرة الأمنية على برنامج نقل الملفات المدارة MOVEit Transfer (MFT) الذي طورته Ipswitch ، وهي شركة تابعة لشركة Progress Software ومقرها الولايات المتحدة ، والتي تسمح للمؤسسات بمشاركة الملفات الكبيرة ومجموعات البيانات عبر الإنترنت. أكد التقدم يوم الأربعاء أنه اكتشف ثغرة أمنية في MOVEit Transfer “يمكن أن تؤدي إلى تصعيد الامتيازات والوصول غير المصرح به إلى البيئة” ، وحث المستخدمين على تعطيل حركة مرور الإنترنت إلى بيئة نقل MOVEit الخاصة بهم.

تتوفر التصحيحات ويحث التقدم جميع العملاء على تطبيقها بشكل عاجل.

كما تحث وكالة الأمن السيبراني الأمريكية CISA المنظمات الأمريكية على اتباع خطوات تخفيف التقدم ، وتطبيق التحديثات اللازمة ، والبحث عن أي نشاط ضار.

أصبحت أدوات نقل ملفات الشركات هدفًا جذابًا بشكل متزايد للمتسللين ، حيث إن العثور على ثغرة أمنية في نظام مؤسسي شائع يمكن أن يسمح بسرقة البيانات من عدة ضحايا.

رفضت Jocelyn VerVelde ، المتحدثة باسم Progress عبر وكالة علاقات عامة خارجية ، الإفصاح عن عدد المنظمات التي تستخدم أداة نقل الملفات المتأثرة ، على الرغم من أن موقع الشركة على الويب ينص على أن البرنامج يستخدم من قبل “آلاف المنظمات حول العالم”. يكشف Shodan ، وهو محرك بحث للأجهزة وقواعد البيانات المكشوفة للجمهور ، عن أكثر من 2500 خادم نقل MOVEit يمكن اكتشافه على الإنترنت ، يقع معظمها في الولايات المتحدة ، بالإضافة إلى المملكة المتحدة وألمانيا وهولندا وكندا.

تؤثر الثغرة الأمنية أيضًا على العملاء الذين يعتمدون على النظام الأساسي السحابي MOVEit Transfer ، وفقًا للباحث الأمني ​​كيفين بومونت. هناك حالة مكشوفة واحدة على الأقل مرتبطة بوزارة الأمن الداخلي الأمريكية ويُعتقد أيضًا أن العديد من “البنوك الكبرى” هي MOVEI كما أن العملاء قد تأثروا أيضًا ، وفقًا لبومونت.

تقول العديد من الشركات الأمنية إنها لاحظت بالفعل أدلة على الاستغلال.

قال مانديانت إنه يحقق “عدة تدخلات” تتعلق باستغلال ضعف MOVEit. أكد تشارلز كارماكال ، كبير مسؤولي التكنولوجيا في مانديانت ، أن مانديانت “رأى أدلة على سرقة البيانات لضحايا متعددين”.

قالت شركة Huntress الناشئة في مجال الأمن السيبراني في منشور بالمدونة إن أحد عملائها قد شهد “سلسلة هجوم كاملة وجميع مؤشرات التوافق المطابقة”.

وفي الوقت نفسه ، أكدت شركة الأبحاث الأمنية Rapid7 أنها لاحظت علامات الاستغلال وسرقة البيانات من “أربعة حوادث منفصلة على الأقل”. قالت كيتلين كوندون ، كبيرة مديري الأبحاث الأمنية في Rapid7 ، إن الشركة قد شاهدت دليلًا على أن المهاجمين ربما بدأوا في أتمتة الاستغلال.

في حين أنه من غير الواضح بالضبط متى بدأ الاستغلال ، قالت شركة GreyNoise الناشئة عن التهديدات الاستخباراتية إنها لاحظت نشاط المسح في وقت مبكر من 3 مارس وتحث المستخدمين على مراجعة الأنظمة بحثًا عن أي مؤشرات للوصول غير المصرح به والتي ربما حدثت خلال الـ 90 يومًا الماضية.

ليس معروفًا من المسؤول حتى الآن عن الاستغلال الجماعي لخوادم MOVEit.

أخبر كوندون من Rapid7 موقع TechCrunch أن سلوك المهاجم يبدو “انتهازيًا وليس مستهدفًا” ، مضيفًا أن هذا “قد يكون من عمل ممثل تهديد واحد يرمي أحد الثغرات بشكل عشوائي على أهداف مكشوفة”.

إنها أحدث محاولة من قبل المتسللين ومجموعات الابتزاز لاستهداف أنظمة نقل ملفات المؤسسة في السنوات الأخيرة.

في يناير ، أعلنت عصابة Clop Ransomware المرتبطة بروسيا مسؤوليتها عن الاستغلال الجماعي لـ ثغرة أمنية في برنامج نقل الملفات المدار GoAnywhere من Fortra. تم استهداف أكثر من 130 مؤسسة تستخدم GoAnywhere ، بما في ذلك شركة رعاية صحية مقرها فلوريدا الأمة، مزود العلاج الافتراضي برايت لاين، ومدينة تورنتو.

كان Clop أيضًا وراء هجوم واسع النطاق آخر على أداة نقل ملفات شائعة أخرى في عام 2021. انتهكت العصابة أداة Accellion لمشاركة الملفات لشن هجمات ضد عدد من المنظمات ، بما في ذلك مورجان ستانليوجامعة كاليفورنيا وكروجر عملاق البقالة وشركة جونز داي للمحاماة.