Microsoft a legat oficial exploatarea activă în curs a unei vulnerabilități critice în aplicația Progress Software MOVEit Transfer de un actor de amenințare pe care îl urmărește sub numele de Lace Tempest.
Lace Tempest, cunoscut și sub numele de Storm-0950, este un partener de ransomware care se suprapune cu alte grupuri precum FIN11, TA505 și Evil Corp. Este cunoscut și pentru operaționalizarea site-ului de extorcare Cl0p.
Acest actor de amenințare are, de asemenea, un istoric de exploatare a diferitelor vulnerabilități zero-day pentru a extrage date și a șantaja victimele, grupul fiind recent observat în procesul de exploatare a unei erori grave în serverele PaperCut.
CVE-2023-34362 se referă la o vulnerabilitate de injectare SQL în MOVEit Transfer, care permite atacatorilor să obțină acces la baza de date a aplicației și să execute cod arbitrar, fără autentificare.
Se crede că există cel puțin peste 3.000 de gazde expuse care utilizează serviciul MOVEit Transfer, conform datelor furnizate de compania de gestionare a suprafeței de atac Censys.
Agenția pentru Securitate Cibernetică și Infrastructură a SUA (CISA), săptămâna trecută, a adăugat vulnerabilitatea în catalogul său de Vulnerabilități Exploatate Cunoscute (KEV), recomandând agențiilor federale să aplice patch-urile furnizate de furnizori până la data de 23 iunie 2023.
Această dezvoltare survine în urma unei exploatații masive similare a serverelor Accellion FTA în decembrie 2020 și GoAnywhere MFT în ianuarie 2023, ceea ce face imperativă aplicarea patch-urilor de către utilizatori cât mai curând posibil pentru a se proteja împotriva riscurilor potențiale.