Deutsch
English
Français
Español
Italiano
Português
日本語
한국어
Русский
Der MoveIt-Transfer-Fehler führt zu einer Welle von Offenlegungen von Datenschutzverletzungen
Ein kritischer Zero-Day-Fehler im MoveIt Transfer-Produkt von Progress Software hat zu einer Welle von Angriffen gegen Organisationen wie den HR-Softwareanbieter Zellis sowie die Regierung von Nova Scotia, Kanada, geführt.
Der Fehler wurde am 31. Mai öffentlich bekannt, als Progress einen SQL-Injection-Fehler in seiner Managed File Transfer (MFT)-Software MoveIt Transfer detailliert beschrieben hat, der jetzt als CVE-2023-34362 verfolgt wird. Progress forderte die Kunden auf, sofort Abhilfemaßnahmen für die bereits angegriffene Schwachstelle zu ergreifen, während an einem Patch gearbeitet wurde, der später am Tag veröffentlicht wurde. Sicherheitsanbieter wie Rapid7 berichteten kurz darauf, dass die Schwachstelle aktiv ausgenutzt werde. Microsoft hat am Sonntag eine neue Studie veröffentlicht, in der die Angriffe einem Bedrohungsakteur namens „Lace Tempest“ zugeschrieben werden, der mit der Clop-Ransomware-Bande in Verbindung steht.
Mehrere Organisationen haben inzwischen Datenverstöße bestätigt, die infolge der Schwachstelle aufgetreten sind, entweder über die Schwachstelle direkt oder nachgelagert. Das in Großbritannien ansässige Unternehmen Zellis sagte am Montag in einer Pressemitteilung, dass „eine kleine Anzahl unserer Kunden von diesem globalen Problem betroffen ist und wir aktiv daran arbeiten, sie zu unterstützen.“
„Als wir auf diesen Vorfall aufmerksam wurden, haben wir sofort Maßnahmen ergriffen, den Server, der die MoveIt-Software verwendet, abgeschaltet und ein externes Expertenteam für die Reaktion auf Sicherheitsvorfälle beauftragt, das uns bei der forensischen Analyse und der laufenden Überwachung unterstützt“, heißt es in der Erklärung. „Wir haben auch das ICO, DPC und das NCSC sowohl im Vereinigten Königreich als auch in Irland benachrichtigt. Wir setzen bei allen unseren Diensten robuste Sicherheitsprozesse ein und sie laufen alle wie gewohnt weiter.“
Die BBC, British Airways (BA) und der britische Einzelhändler Boots haben alle Angriffe bestätigt, die auf den Fehler zurückzuführen sind, und BA bestätigte gegenüber der TechTarget-Schwesterpublikation ComputerWeekly, dass der Verstoß stromabwärts von Zellis begann.
Auch die Regierung von Nova Scotia, Kanada, bestätigte am Dienstag in einer Pressemitteilung einen Angriff im Zusammenhang mit MoveIt Transfer. Die Regierung schätzte, dass die personenbezogenen Daten von bis zu 100.000 früheren und gegenwärtigen Beamten durch den Verstoß möglicherweise kompromittiert wurden.
„Die Provinz hat festgestellt, dass die persönlichen Daten vieler Mitarbeiter von Nova Scotia Health, des IWK Health Center und des öffentlichen Dienstes im Rahmen der globalen Cybersicherheitsverletzung von MoveIt gestohlen wurden“, heißt es in der Pressemitteilung. „Bisher ergab die Untersuchung der Provinz, dass Sozialversicherungsnummern, Adressen und Bankinformationen gestohlen wurden. Die Menge und Art der Informationen hängt vom Arbeitgeber ab. Diese Informationen wurden über den MoveIt-Dateiübertragungsdienst weitergegeben, da dieser Dienst für die Übermittlung der Gehaltsabrechnungen der Mitarbeiter verwendet wird.“ Information."
Die in New York ansässige University of Rochester gab am 2. Juni einen Verstoß bekannt, erwähnte MoveIt Transfer jedoch nicht namentlich. Sie bezeichnete den Ursprung des Angriffs als „eine Softwareschwachstelle in einem Produkt eines externen Dateiübertragungsunternehmens“, von der „die Universität und etwa 2.500 Organisationen weltweit betroffen waren“.
„Zum jetzigen Zeitpunkt gehen wir davon aus, dass Lehrkräfte, Mitarbeiter und Studierende betroffen sein könnten, aber wir kennen noch nicht das volle Ausmaß der Auswirkungen auf Mitglieder der Universitätsgemeinschaft oder auf welche personenbezogenen Daten zugegriffen wurde, da die Untersuchung noch läuft“, heißt es in der Offenlegung des Verstoßes lesen. „Wir werden Updates bereitstellen, sobald diese verfügbar sind.“
Die Redaktion von TechTarget kontaktierte die Universität, um zu bestätigen, ob der Angriff mit MoveIt Transfer zusammenhängt, aber die Universität hat zum Redaktionsschluss noch nicht geantwortet.
Clop kündigte Anfang dieser Woche auf seiner Datenleck-Website an, dass es damit beginnen werde, die Namen der Opfer auf der Website zu veröffentlichen, wenn diese Organisationen nicht bis zum 14. Juni Kontakt mit der Ransomware-Bande aufnehmen. Die Bande, die sich selbst „eine der Top-Organisation(en)“ nennt dass] im Nachhinein einen Penetrationstestdienst anbietet“, sagte sie, dass sie nach sieben Tagen mit der Veröffentlichung der Opferdaten beginnen werde, wenn eine Zahlung nicht erfolgt.
Seltsamerweise gab Clop auch bekannt, dass alle Daten von Regierungsbehörden, städtischen Diensten oder Polizeibehörden gelöscht wurden und dass diese Organisationen keinen Bedarf haben, die Ransomware-Bande zu kontaktieren. „Wir haben kein Interesse daran, solche Informationen preiszugeben“, sagte Clop.
Alexander Culafi ist ein in Boston ansässiger Autor, Journalist und Podcaster.