Borítókép forrás: ipswitch.com/saját szerkesztés
2023. május 31-én a Progress egy közleményt publikált, amely a CVE-2023-34362 azonosítóval ellátott biztonsági rést részletezte. A sérülékenyéget a MOVEit Transfer nevű alkalmazásban fedezték fel, illetve az is kiderült, hogy a hibát aktívan ki is használják.
A rákövetkező napokban kiderült, hogy a Cl0p kiberbűnözői csoport 2021 júliusa óta tesztelte a rést. A csoport úgy döntött, hogy a „Memorial Day” hétvégéjén aktiválják élesben a sebezhetőséget, begyűjtve első áldozatait. Az említett eset után a Progress Software, a MOVEit tulajdonosa, kiberbiztonsági szakértőkkel együttműködve további részletes vizsgálatokat folytatott le, melynek eredményeképp egy újabb hibát fedeztek fel (CVE-2023-35036), melyet 2023. június 9-én egy közleményben publikáltak. 2023. június 15-én a Progress egy harmadik kritikus sebezhetőségről (CVE-2023-35708) is közzétett információkat, amelynek kihasználása bizonyos jogosultságok elérésére ad lehetőséget.
A Progress azt tanácsolja, hogy a 80-as és 443-as portokon a MOVEit Transfer felé irányuló minden HTTP és HTTPs forgalmat tiltsuk le, amíg a sebezhetőségek kezelésére szolgáló javítás elkészül.
A CISA támogatást nyújt több szervezetnek is, amelyeknél a MOVEit alkalmazásokat érintő behatolásokat tapasztalták. A valószínűleg több száz áldozat között van a British Airways-t és a BBC-t kiszolgáló bérszámfejtő Zellis, az olajipari óriás Shell, több pénzügyi szolgáltató szervezet, biztosítótársaságok és még sokan mások. A jelentések szerint az Egyesült Államok Energiaügyi Minisztériumának (DOE) két szervezete is veszélybe került. A legtöbb áldozatot az Egyesült Államokban található szervezetek teszik ki, de további célpontokat azonosítottak az Egyesült Királyságban, Németországban, Ausztriában, Svájcban, Luxemburgban, Franciaországban és Hollandiában is.
A Cl0p a dark webes oldalán közzétett üzenetében hangsúlyozta, hogy nem fogja felhasználni a kormányzati szervezetektől ellopott adatokat.
A MOVEit fájlátviteli eszközt érintő harmadik sebezhetőség riadalmat keltett az amerikai tisztviselők és kiberbiztonsági kutatók körében, miután kiderült, hogy több kormányzati ügynökséget is érintett a sérülékenység. A Progress közleményében arra figyelmeztetett, hogy a MOVEit ügyfelei azonnal intézkedjenek a probléma megoldása érdekében, illetve, hogy az ügyfeleknek a legújabb javítás alkalmazása előtt be kell foltozniuk a kezdeti sebezhetőségeket.
Több állami szintű szervezet is bejelentette a MOVEit sebezhetőségéhez kapcsolódó incidenseket: az Illinois, Missouri, Oregon, Louisiana és Minnesota állambeli ügynökségek közölték, hogy vizsgálják a MOVEithez kapcsolódó, több ezer embert érintő potenciális adatsértéseket.
Louisiana állam közleményében publikálta, hogy minden, államilag kiállított jogosítvánnyal, személyi igazolvánnyal vagy gépjármű-regisztrációval rendelkező louisianai lakos esetében valószínűleg hozzáfértek a nevekhez, társadalombiztosítási számokhoz, születési dátumokhoz, fizikai jellemzőkhöz, jogosítványszámokhoz és gépjármű adatokhoz. Az oregoni közlekedési minisztérium megerősítette, hogy körülbelül 3,5 millió oregoni lakos személyes adatait érintette a jogsértés.
