عيب خطير في التقدم البرمجيات في موفيت نقل إدارة تطبيق نقل الملفات قد حان تحت الاستغلال على نطاق واسع في البرية لتولي النظم الضعيفة. نقل الحركة تحت الهجوم
العيب ، الذي تم تعيينه معرف كفي كفي-2023-34362 ، يتعلق بضعف حقن سكل الشديد الذي يمكن أن يؤدي إلى تصاعد الامتيازات وإمكانية الوصول غير المصرح به إلى البيئة.
تتحدث الشركة:
” تم العثور على ثغرة في حقن سكل في تطبيق موفيت ترانسفير على شبكة الإنترنت يمكن أن تسمح لمهاجم غير مصادق بالوصول غير المصرح به إلى قاعدة بيانات موفيت ترانسفير”.
“اعتمادا على محرك قاعدة البيانات المستخدمة (ميسكل ، ميكروسوفت سكل سيرفر ، أو أزور سكل) ، قد يكون المهاجم قادرا على استنتاج معلومات حول بنية ومحتويات قاعدة البيانات بالإضافة إلى تنفيذ عبارات سكل التي تغير أو حذف عناصر قاعدة البيانات.”
تم توفير تصحيحات الخلل بواسطة شركة مقرها ماساتشوستس ، والتي تمتلك أيضا تيليريك ، في الإصدارات التالية: 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5), و 2023.0.1 (15.0.1).
تم الإبلاغ عن التطور لأول مرة بواسطة جهاز الكمبيوتر. وفقا لصيادة ورابيد 7. تم الكشف عن ما يقرب من 2500 حالة من حالات نقل الحركة على الإنترنت العام اعتبارا من 31 مايو 2023 ، معظمها موجود في الولايات المتحدة.
تبلغ محاولات الاستغلال الناجحة ذروتها في نشر غلاف ويب. وهو ملف يسمى ” الإنسان 2.أسبكس “في الدليل” ووروت “الذي تم إنشاؤه عبر البرنامج النصي مع اسم ملف عشوائي. إلى” إكسفيلترات البيانات المختلفة المخزنة من قبل خدمة موفيت المحلية.”
تم تصميم غلاف الويب أيضا لإضافة جلسات حساب مستخدم مشرف جديدة باسم “خدمة الفحص الصحي” في محاولة محتملة لتجنب الكشف. كشف تحليل لسلسلة الهجوم.
وقالت شركة الاستخبارات التهديد غرينويز انها ” لاحظت نشاط المسح الضوئي لصفحة تسجيل الدخول من نقل موفيت تقع في / الإنسان.اسبكس في وقت مبكر من 3 مارس 2023. “إضافة خمسة عناوين إب مختلفة تم الكشف عنها” في محاولة لاكتشاف موقع المنشآت موفيت.”
وقال ساتنام نارانج ، كبير مهندسي أبحاث الموظفين في تينابل:” على الرغم من أننا لا نعرف التفاصيل حول المجموعة التي تقف وراء هجمات يوم الصفر التي تنطوي على موفيت. إلا أنها تؤكد اتجاها مقلقا لجهات التهديد التي تستهدف حلول نقل الملفات”.
أمن البنية التحتية الأمريكية (سيسا).
وقد دفع هذا التطور وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (سيسا) لإصدار تنبيه. وحث المستخدمين والمنظمات على اتباع خطوات التخفيف لتأمين ضد أي نشاط ضار.
ينصح أيضا بعزل الخوادم عن طريق حظر حركة المرور الواردة والصادرة وفحص البيئات بحثا عن مؤشرات محتملة للتسوية. وإذا كان الأمر كذلك ، فاحذفها قبل تطبيق الإصلاحات.
وقال الباحث الأمني كيفين بومونت:” إذا تبين أنها مجموعة رانسومواري مرة أخرى. فسيكون هذا هو ثاني يوم من أيام المؤسسة إم إف تي زيرو في السنة. فقد أصبحت كل0 بي جامحة مع جواني في كل مكان مؤخرا”.
تمت إضافة عيب نقل الحركة إلى كتالوج كيف
وضعت سيسا يوم الجمعة عيب حقن سكل التي تؤثر على نقل موفيت التقدم إلى كتالوج الثغرات المستغلة المعروفة (كيف). والتوصية الوكالات الاتحادية لتطبيق بقع المقدمة من البائع بحلول 23 يونيو 2023.
اكتشفت شركة إدارة سطح الهجوم أكثر من 3000 مضيف مكشوف يستخدمون خدمة نقل الحركة. والتي ينتمي أكثر من 60 منها إلى الحكومات الفيدرالية وحكومات الولايات الأمريكية.
وقال مانديانت. الذي يتتبع النشاط تحت اسم أون 4857 غير المصنف. إن الهجمات الانتهازية خصصت “مجموعة واسعة من الصناعات” التي تتخذ من كندا والهند والولايات المتحدة وإيطاليا وباكستان وألمانيا مقرا لها.
وقالت شركة جوجل كلاود التابعة لها إنها “على علم بحالات متعددة حيث سرقت كميات كبيرة من الملفات من أنظمة نقل موفيت للضحايا”. مضيفة أن قذيفة الويب (التي يطلق عليها اسم ليمورلوت) قادرة أيضا على سرقة معلومات التخزين أزور.
الدوافع الدقيقة وراء الاستغلال الجماعي.
في حين أن الدوافع الدقيقة وراء الاستغلال الجماعي غير معروفة حاليا. فليس من غير المألوف أن يقوم المجرمون الإلكترونيون باستثمار البيانات المسروقة عبر عمليات الابتزاز أو عرضها للبيع في المنتديات السرية.’
كما أنها أحدث جهد من قبل الجهات الفاعلة التهديد لاستهداف أنظمة نقل الملفات المؤسسة في السنوات الأخيرة. والتي أثبتت أنها وسيلة مربحة لسحب البيانات الهامة من العديد من الضحايا في وقت واحد.
وقال باحثو مانديانت:” إذا كان الهدف من هذه العملية هو الابتزاز. فإننا نتوقع أن تتلقى منظمات الضحايا رسائل بريد إلكتروني للابتزاز في الأيام إلى الأسابيع المقبلة”.
(تم تحديث القصة بعد النشر لتعكس معرف مكافحة التطرف العنيف وإدراج الخلل في كتالوج كيف.) نقل الحركة تحت الهجوم