ClickCease 제로데이 익스플로잇의 공격을 받는 MOVEit 전송

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

제로데이 익스플로잇의 공격을 받는 MOVEit 전송

2023년 6월 16일 TuxCare 홍보팀

Rapid7의 보안 연구원들이 기업에서 안전한 파일 전송을 위해 널리 사용되는 Progress Software의 MOVEit Transfer 제품의 제로데이 취약점을 악용하는 위협 행위자를 발견했습니다. 사이버 범죄자들은 SQL 인젝션 취약점(CVE-2023-34362)을 활용하여 제품의 데이터베이스에 무단으로 액세스하고 있습니다.

이 취약점을 통해 인증되지 않은 공격자가 MOVEit Transfer의 데이터베이스에 침투하여 잠재적으로 중요한 데이터베이스 요소를 수정하거나 삭제하는 SQL 문을 실행할 수 있습니다. 이 취약점은 프로그레스 소프트웨어에 의해 확인되었으며, 프로그레스 소프트웨어는 "인증되지 않은 공격자가 무브잇 트랜스퍼의 데이터베이스에 무단으로 액세스할 수 있는 SQL 인젝션 취약점이 무브잇 트랜스퍼 웹 애플리케이션에서 발견되었다"는 내용의 권고문을 발표했습니다.

모든 버전의 MOVEit Transfer에 영향을 미치지만, MOVEit 자동화, MOVEit 클라이언트, Microsoft Outlook용 MOVEit 애드인, MOVEit 모바일, WS_FTP 클라이언트, WS_FTP 서버, MOVEit EZ, MOVEit 게이트웨이, MOVEit 애널리틱스 및 MOVEit 프리웨어는 영향을 받지 않습니다.

Rapid7 연구원들은 감염된 시스템의 wwwroot 폴더에서 "human2.aspx"라는 웹셸이 존재한다는 것을 발견했으며, 이는 자동화된 익스플로잇을 시사한다고 말했습니다. 이 웹셸은 MOVEit Transfer의 웹 인터페이스에서 사용되는 합법적인 파일 사이에서 눈에 띄지 않도록 설계되었으며 암호로 보호됩니다. 웹셸에 무단으로 액세스하려고 시도하면 404 찾을 수 없음 오류가 발생하며, 이는 악성 활동을 숨기려는 잠재적 시도를 나타냅니다.

Rapid7에 따르면 5월 31일까지 인터넷에서 공개적으로 액세스 가능한 무브잇 트랜스퍼의 인스턴스는 2,500개 이상이며, 그 중 상당수가 미국에 집중되어 있다고 합니다. 한편, 프로그레스 소프트웨어는 고객에게 공격과 관련된 침해 지표(IoC)를 제공하고 의심스러운 활동이 발견되면 즉시 보안 및 IT 팀에 연락할 것을 촉구하고 있습니다.

이 글의 출처는 SecurityAffairs의 기사입니다.

요약
제로데이 익스플로잇의 공격을 받는 MOVEit 전송
기사 이름
제로데이 익스플로잇의 공격을 받는 MOVEit 전송
설명
Rapid7의 연구원들이 Progress Software의 MOVEit Transfer 제품의 제로데이 취약점을 악용하는 새로운 위협을 발견했습니다.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기