Italiano
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
La falla di MoveIt Transfer porta a un'ondata di divulgazioni di violazioni dei dati
Un difetto critico zero-day nel prodotto MoveIt Transfer di Progress Software ha portato a un'ondata di attacchi contro organizzazioni come il fornitore di software per le risorse umane Zellis e il governo della Nuova Scozia, Canada.
Il difetto è diventato di pubblico dominio il 31 maggio, quando Progress ha dettagliato un bug di SQL injection, ora tracciato come CVE-2023-34362, nel suo software di trasferimento file gestito (MFT) MoveIt Transfer. Progress ha esortato i clienti ad applicare immediatamente delle misure di mitigazione per la vulnerabilità, che era già sotto attacco, mentre si lavorava su una patch rilasciata più tardi quel giorno. I fornitori di sicurezza come Rapid7 hanno riferito subito dopo che la falla era ampiamente sfruttata. Domenica Microsoft ha pubblicato una nuova ricerca che attribuisce gli attacchi a un attore di minacce soprannominato "Lace Tempest", che era legato alla banda di ransomware Clop.
Diverse organizzazioni hanno ora confermato le violazioni dei dati che si sono verificate a causa della vulnerabilità, direttamente o a valle. Zellis, con sede nel Regno Unito, ha dichiarato lunedì in un comunicato stampa che "un piccolo numero di nostri clienti è stato colpito da questo problema globale e stiamo lavorando attivamente per supportarli".
"Una volta venuti a conoscenza di questo incidente, abbiamo agito immediatamente, disconnettendo il server che utilizza il software MoveIt e coinvolgendo un team esterno di esperti di risposta agli incidenti di sicurezza per assistere con l'analisi forense e il monitoraggio continuo", si legge nella dichiarazione. "Abbiamo inoltre informato l'ICO, il DPC e l'NCSC sia nel Regno Unito che in Irlanda. Utilizziamo solidi processi di sicurezza in tutti i nostri servizi e continuano a funzionare normalmente."
BBC, British Airways (BA) e il rivenditore britannico Boots hanno tutti confermato gli attacchi derivanti dalla falla, e BA ha confermato alla pubblicazione sorella di TechTarget ComputerWeekly che la sua violazione è iniziata a valle di Zellis.
Anche il governo della Nuova Scozia, Canada, ha confermato martedì un attacco legato a MoveIt Transfer tramite un comunicato stampa. Il governo ha stimato che i dati personali di ben 100.000 dipendenti pubblici passati e presenti potrebbero essere stati compromessi a seguito della violazione.
"La Provincia ha stabilito che le informazioni personali di molti dipendenti della Nova Scotia Health, dell'IWK Health Center e del servizio pubblico sono state rubate nella violazione della sicurezza informatica globale MoveIt", si legge nel comunicato stampa. "Finora, l'indagine provinciale indica che numeri di previdenza sociale, indirizzi e informazioni bancarie sono stati rubati. La quantità e il tipo di informazioni dipende dal datore di lavoro. Queste informazioni sono state condivise tramite il servizio di trasferimento file MoveIt perché questo servizio viene utilizzato per trasferire le buste paga dei dipendenti informazione."
L'Università di Rochester, con sede a New York, ha rivelato una violazione il 2 giugno, sebbene non abbia fatto riferimento a MoveIt Transfer per nome. Ha fatto riferimento all'origine dell'attacco subito come "una vulnerabilità del software in un prodotto fornito da una società di trasferimento file di terze parti" che "ha colpito l'Università e circa 2.500 organizzazioni in tutto il mondo".
"Al momento, riteniamo che docenti, personale e studenti potrebbero essere colpiti, ma non conosciamo ancora l'intera portata dell'impatto sui membri della comunità universitaria o a quali dati personali sia stato effettuato l'accesso, poiché l'indagine è in corso", si legge nella divulgazione della violazione. Leggere. "Forniremo aggiornamenti non appena disponibili."
TechTarget Editorial ha contattato l'università per confermare se l'attacco fosse legato a MoveIt Transfer, ma l'università non ha risposto al momento della stesura.
Clop ha annunciato sul suo sito di fuga di dati all'inizio di questa settimana che inizierà a pubblicare i nomi delle vittime sul sito se tali organizzazioni non contatteranno la banda di ransomware entro il 14 giugno. La banda, che si autodefinisce "una delle migliori organizzazioni [ che] offrono servizi di penetration testing a posteriori," ha detto che inizierà a pubblicare i dati delle vittime dopo sette giorni se non viene effettuato il pagamento.
Stranamente, Clop ha anche annunciato di aver cancellato tutti i dati provenienti da agenzie governative, servizi comunali o dipartimenti di polizia e che tali organizzazioni non hanno bisogno di contattare la banda di ransomware. "Non abbiamo alcun interesse a divulgare tali informazioni", ha detto Clop.