今年5月下旬，俄罗斯勒索软件组织Clop利用美国Progress Software公司旗下产品MOVEit的一个安全漏洞，从易受攻击网络中窃取大批文件。截至目前，已有近400家组织受到影响，其中不乏美国能源部等联邦机构、能源巨头壳牌、德意志银行、普华永道、零售巨头TJX等知名公司机构。

零日漏洞曝光近两月，受害机构逼近400家

零售巨头TJX在7月19日确认：“在Progress通知我们该漏洞之前，一些文件已被未经授权的第三方下载。”TJX拥有TJ Maxx、Marshalls、HomeGoods、HomeSense和Sierra等多个零售品牌。

虽然公司遭到攻击影响，TJX发言人强调：“我们认为TJX系统中没有任何客户或员工个人信息被未经授权用户访问，攻击未对TJX造成任何重大影响。”

拥有20多个美容品牌的雅诗兰黛公司也可能是受害者。Clop团伙在其泄露网站上列出该公司信息。雅诗兰黛也于同一天披露了“网络安全事件”。

据网络安全厂商Emsisoft统计，截至7月19日，共有383家组织和超过2千万个人遭受这次攻击。该统计的数据来源包括泄露通知、美国证券交易委员会（SEC）公告、其他公开数据及Clop团伙的泄露网站。

Emsisoft团队指出，一些受到MOVEit漏洞影响的公司为许多其他组织提供服务。

例如，Clop利用了英国薪资服务提供商Zellis部署的MOVEit工具。该公司客户众多，包括英国航空公司、英国广播公司（BBC）和英国博姿连锁药店。结果，俄罗斯黑客团伙利用MOVEit软件漏洞窃取了这些公司的员工记录。据Emsisoft报道，另一家MOVEit用户美国学生信息中心，与美国3500多所学校合作，处理1710万名学生的信息。因此，受害者的总数很可能会继续增长。

Emsisoft威胁分析师Brett Callow表示：“虽然严重性不及SolarWinds事件，这依然是近年来规模最大的黑客事件之一。后续需对数百万人进行信用监控、引发无数诉讼，损失将极其巨大。”

Progress Software公司目前面临多起指控，控方认为MOVEit漏洞是安全性不足所致。据《华尔街日报》消息，相关诉讼至少有13起。

Emsisoft补充道：“更糟糕的是，被窃取信息有极大可能遭到滥用。不单单是Cl0p团伙可能滥用这些信息。一旦信息在网上公开，全球的网络犯罪分子都可以将这些信息用于商业电子邮件欺诈、身份欺诈。”

Progress Software公司拒绝回答有多少组织受到MOVEit漏洞影响。

该公司一位发言人表示：“我们会继续专注于客户支持。Emsisoft报告表明，频繁和透明的更新有助于鼓励客户迅速应用我们发布的漏洞补丁。我们将继续与行业领先的网络安全专家合作，调查攻击事件，确保采取适当的应对措施。据我们目前所知，5月31日漏洞之后发现的漏洞没有被大幅滥用。”

自5月底以来，其他漏洞陆续被发现。

漏洞曝光时间线

5月31日披露的首个漏洞是SQL注入漏洞。次日，Progress Software修补该漏洞，标记为CVE-2023-34362。

6月9日，第二个漏洞CVE-2023-35036被发现，并于次日被修复。

6月15日，Progress Software披露了第三个漏洞CVE-2023-35708。

最后（我们希望是），7月5日，又有三个漏洞CVE-2023-36934、CVE-2023-36932、CVE-2023-36933被发现并得到修复。

网络安全评级公司Bitsight表示，虽然受害者数量不断增加，但是易受攻击的组织在修补MOVEit漏洞方面表现相当不错。

本周四，Bitsight研究员Noah Stone在博客写道：5月31日漏洞披露以来，“易受CVE-2023-34362攻击的组织数量已经减少，至少77%最初受影响的组织现在不再易受攻击，而最初受影响的组织中至多还有23%仍然存在漏洞。后续披露的CVE漏洞，易受攻击的组织比率更高。”

更多组织仍然容易受到本月早些时候披露的三个最新漏洞的攻击，这并不令人意外。Noah Stone表示：“最初受到较新CVE漏洞攻击的组织中，至多有56%仍然容易受到攻击。”

Huntress公司的威胁猎人发现了第2个MOVEit漏洞。该公司高级安全研究员John Hammond表示，这类供应链攻击对犯罪分子越来越具有吸引力，因为它们可以为攻击者带来更多利益。

John Hammond表示：“不论是像MOVEit Transfer这样的攻击，还是过去的重大入侵案例，比如Kaseya VSA勒索软件事件、SolarWinds漏洞利用事件，所有攻击都对软件供应链有影响。这大幅提高了潜在受害者数量，影响了下游组织和供应商/消费者关系。对黑客来说，这种一对多的影响非常有吸引力。这也是供应链威胁如此阴险的原因。”

当然，John Hammond指出，这类入侵意味着“威胁行为者发起的每次攻击都是一次性的。下游受害者遭受损失后，机会就不复存在，攻击者必须重新发动攻击。”

声明：内容来源安全内参，参考资料theregister，转载目的在于传播更多资讯，如有侵权，请联系本站处理。

专题推荐

网络勒索不断，企业该如何防范勒索软件攻击

警惕“未知发布者”应用，软件代码签名证书帮助远离恶意软件

网络通信安全，需要https守护——SSL证书助力保障网站安全可信

最新资讯

工信部：推动建立工业互联网安全分类分级管理制度

电子签名助力企业数字化转型，怎么签署电子签名你知道吗？

网络钓鱼事件频发，网络安全须重视，如何防范网络钓鱼攻击？

CA/B论坛新规：9月1日起弃用SSL证书中的 OU字段

俄乌冲突凸显网络对抗加剧：“热战”之前网络战先行

标签推荐：数字证书申请 | 域名ssl证书 | https证书申请| 数字证书过期| 网站证书安装| 可靠的ssl证书| 小程序证书| ca认证电子签名| 微软代码签名| android数字签名| java代码签名| ssl证书部署| 时间戳技术| 电子签名技术| https证书配置| 谷歌浏览器证书| tomcat数字证书| openssl漏洞| ECC加密算法| 服务器SSL证书| 链路层劫持| 物联网安全技术| 火狐插件签名证书