{"id":282170,"date":"2023-06-05T16:52:31","date_gmt":"2023-06-05T14:52:31","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=282170"},"modified":"2023-06-07T08:45:45","modified_gmt":"2023-06-07T06:45:45","slug":"lace-tempest-clop-ransomware-gang-nutzt-moveit-schwachstelle-cve-2023-34362","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/06\/05\/lace-tempest-clop-ransomware-gang-nutzt-moveit-schwachstelle-cve-2023-34362\/","title":{"rendered":"Lace Tempest\/Clop-Ransomware-Gang nutzt MOVEit Schwachstelle CVE-2023-34362"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2023\/06\/05\/lace-tempest-clop-ransomware-gang-exploits-moveit-vulnerability-cve-2023-34362\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Seit einigen Tagen ist die SQL-Injection-Schwachstelle CVE-2023-34362 in der Managed File Transfer (MFT)-L\u00f6sung MOVEit bekannt. Diese Schwachstelle wird von Angreifer seit einiger Zeit ausgenutzt und Sicherheitsbeh\u00f6rden warnen inzwischen vor den Risiken ungepatchter Systeme. Microsoft hat nun offen gelegt, dass die Schwachstelle inzwischen im Fokus der Lace Tempest Hackergruppe steht, die f\u00fcr die Clop-Ransomware-Gang aktiv ist.<\/p>\n<p><!--more--><\/p>\n<h2>MOVEit Schwachstelle CVE-2023-34362<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/f0e0884fcf4749e68c100dc7fab1a809\" alt=\"\" width=\"1\" height=\"1\" \/>In der Managed File Transfer (MFT)-L\u00f6sung MOVEit gibt es eine Schwachstelle, die eine Ausweitung von Privilegien und den unberechtigten Zugriff auf die Umgebung der Software erm\u00f6glicht. Bei CVE-2023-34362 handelt es sich um eine SQL Injection-Schwachstelle in der MOVEit Transfer-Webanwendung. Diese Schwachstelle k\u00f6nnte es einem nicht authentifizierten Angreifer erm\u00f6glichen, unbefugten Zugriff auf die Datenbank von MOVEit Transfer zu erlangen.<\/p>\n<p>Der Anbieter der Software, das US-Unternehmens Progress Software Corporation hat zum 31. Mai 2023 einen <a href=\"https:\/\/community.progress.com\/s\/article\/MOVEit-Transfer-Critical-Vulnerability-31May2023\">Sicherheitshinweise zur Schwachstelle <\/a>ver\u00f6ffentlicht. Ich hatte im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2023\/06\/02\/bedrohungsstufe-4-bsi-warnung-vor-ausgenutzter-moveit-schwachstelle\/\">Bedrohungsstufe 4: BSI-Warnung vor ausgenutzter MOVEit-Schwachstelle<\/a> \u00fcber diese Schwachstelle, vor der das BSI inzwischen warnt, berichtet. Neben dem BSI warnen auch weitere Cyber-Sicherheitsbeh\u00f6rden weltweit vor dieser Schwachstelle. Die Kollegen von Bleeping Computer berichten <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/cisa-orders-govt-agencies-to-patch-moveit-bug-used-for-data-theft\/\" target=\"_blank\" rel=\"noopener\">hier<\/a>, dass die US-Sicherheitsbeh\u00f6rde CISA die US-Beh\u00f6rden aufgefordert hat, die Schwachstelle bis zum 23. Juni 2023 zu patchen.<\/p>\n<blockquote><p><a href=\"https:\/\/www.ipswitch.com\/de\/moveit\" target=\"_blank\" rel=\"noopener\">MOVEit<\/a> ist eine Managed File Transfer (MFT)-Software, die eine \u00dcbertragung von Dateien zwischen verschiedenen Rechnern erm\u00f6glicht. Entwickelt wird die Software von Ipswitch, einer Tochtergesellschaft des US-Unternehmens Progress Software Corporation. MOVEit ist h\u00e4ufig in Firmen im Einsatz, um Dateien zwischen Kunden oder Gesch\u00e4ftspartnern per Internet auszutauschen. Dabei werden Uploads \u00fcber die Protokolle SFTP, SCP und HTTP unterst\u00fctzt, um die Dateien sicher zu \u00fcbertragen.<\/p><\/blockquote>\n<h2>Microsoft: Lace Tempest\/Clop nutzen das<\/h2>\n<p>Die Schwachstelle scheint seit einiger Zeit durch Cyberkriminelle f\u00fcr die Entwendung von Informationen ausgenutzt zu werden. Gerade ist mir auf Twitter <a href=\"https:\/\/twitter.com\/_JohnHammond\/status\/1665297652475629568\" target=\"_blank\" rel=\"noopener\">diese Meldung<\/a> untergekommen, wo eine SQL-Datenbank infiziert wurde.<\/p>\n<p><a href=\"https:\/\/twitter.com\/_JohnHammond\/status\/1665297652475629568\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"MOVEit vulnerability CVE-2023-34362\" src=\"https:\/\/i.imgur.com\/7Wwud5x.png\" alt=\"MOVEit vulnerability CVE-2023-34362\" \/><\/a><\/p>\n<p>Erg\u00e4nzung: Hammond hat zum 6.6.2023 die neueste Entdeckung <a href=\"https:\/\/twitter.com\/_JohnHammond\/status\/1665898849314164736\" target=\"_blank\" rel=\"noopener\">auf Twitter<\/a> gepostet.\u00a0Inzwischen schreibt Microsoft die Angriffe \u00fcber die Sicherheitsl\u00fccke CVE-2023-34362 auf MOVEit-Instanzen der Hackergruppe Lace Tempest zu, die f\u00fcr Ransomware-Operationen bekannt ist und die Erpresser-Website Clop betreibt.<\/p>\n<p><a href=\"https:\/\/twitter.com\/MsftSecIntel\/status\/1665537730946670595\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" src=\"https:\/\/i.imgur.com\/flhEIZH.png\" \/><\/a><\/p>\n<p>Der Bedrohungsakteur habe in der Vergangenheit \u00e4hnliche Schwachstellen genutzt, um Daten zu stehlen und Opfer zu erpressen, hei\u00dft es von Microsoft. Nach der Ausnutzung der Schwachstelle wird h\u00e4ufig eine Web-Shell mit Datenexfiltrationsfunktionen installiert. CVE-2023-34362 erm\u00f6glicht es Angreifern, sich als beliebiger Benutzer zu authentifizieren. Lace Tempest (Storm-0950, \u00fcberschneidet sich mit FIN11, TA505) authentifiziert sich als der Benutzer mit den h\u00f6chsten Rechten, um Dateien auf den Opfersystemen zu exfiltrieren.<\/p>\n<p>Microsoft fordert Unternehmen, die von der Sicherheitsl\u00fccke CVE-2023-34362 in MOVEit Transfer betroffen sind, dringend auf, Sicherheits-Patches anzuwenden und die von Progress in ihrem Sicherheitshinweis genannten Ma\u00dfnahmen zur Schadensbegrenzung durchzuf\u00fchren. Die Kollegen von Bleeping Computer haben <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/microsoft-links-clop-ransomware-gang-to-moveit-data-theft-attacks\/\" target=\"_blank\" rel=\"noopener\">hier<\/a> ebenfalls einige Informationen zusammen getragen.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/06\/02\/bedrohungsstufe-4-bsi-warnung-vor-ausgenutzter-moveit-schwachstelle\/\">Bedrohungsstufe 4: BSI-Warnung vor ausgenutzter MOVEit-Schwachstelle<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/06\/05\/lace-tempest-clop-ransomware-gang-nutzt-moveit-schwachstelle-cve-2023-34362\/\">Lace Tempest\/Clop-Ransomware-Gang nutzt MOVEit Schwachstelle CVE-2023-34362<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/06\/07\/moveit-schwachstelle-tangiert-100-deutsche-firmen-aoks-von-datenabfluss-betroffen\/\" rel=\"bookmark\">MOVEit-Schwachstelle tangiert 100 deutsche Firmen, AOKs von Datenabfluss betroffen?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Seit einigen Tagen ist die SQL-Injection-Schwachstelle CVE-2023-34362 in der Managed File Transfer (MFT)-L\u00f6sung MOVEit bekannt. Diese Schwachstelle wird von Angreifer seit einiger Zeit ausgenutzt und Sicherheitsbeh\u00f6rden warnen inzwischen vor den Risiken ungepatchter Systeme. Microsoft hat nun offen gelegt, dass die &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/06\/05\/lace-tempest-clop-ransomware-gang-nutzt-moveit-schwachstelle-cve-2023-34362\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-282170","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/282170","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=282170"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/282170\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=282170"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=282170"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=282170"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}