Sophos: Beperkt aantal aanvallen via kwetsbaarheid in MOVEit
Sophos meldt een beperkt aantal aanvallen te zien waarbij gebruik wordt gemaakt van een SQL-injectiekwetsbaarheid in MOVEit Transfer en MOVEit Cloud van Progress Software. Via het lek kunnen aanvallers de volledige controle over een MOVEit-installatie overnemen.
De kwetsbaarheid is al enige tijd bekend en geïdentificeerd als CVE-2023-34362. Progress Software bracht op 31 mei een update uit die het beveiligingsprobleem verhelpt. Sophos geeft een update over de stand van zaken en meldt dat SophosLabs en Sophos MDR een 'zeer beperkt aantal aanvallen' ziet waarbij de kwetsbaarheid wordt gebruikt.
Indicators of compromise
Het beveiligingsbedrijf adviseert alert te zijn op indicators of compromise. Een belangrijk signaal dat aanvallers een MOVEit-implementatie via de kwetsbaarheid hebben aangevallen is de aanwezigheid van de webshell 'c:\MOVEit Transfer\wwwroot\human2.aspx'. Ook adviseert Sophos gebruikers van MOVEit de door Progress Software beschikbaar gestelde patch te installeren. Wel waarschuwt Sophos dat het installeren van de patch geen webshells of andere artifacts van een aanval verwijderd. Gebruikers moeten hiertegen dus handmatig maatregelen nemen.
Meer informatie is hier beschikbaar.
Meer over Sophos
Over Wouter Hoeffnagel
