{"id":282605,"date":"2023-06-16T11:23:11","date_gmt":"2023-06-16T09:23:11","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=282605"},"modified":"2024-06-11T16:24:39","modified_gmt":"2024-06-11T14:24:39","slug":"das-moveit-desaster-proof-of-concept-clop-gang-verffentlicht-opferdaten","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/06\/16\/das-moveit-desaster-proof-of-concept-clop-gang-verffentlicht-opferdaten\/","title":{"rendered":"Das MOVEit-Desaster: Proof of Concept; Clop-Gang ver&ouml;ffentlicht Opferdaten"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[English]F\u00fcr Nutzer der Managed File Transfer (MFT)-L\u00f6sung MOVEit von Progress, die Opfer der im Mai 2023 bekannt gewordenen Schwachstelle wurden, deutet sich \u00c4rger an. Die Clop-Ransomware-Gruppe hat Daten von Opfern \u00f6ffentlich gemacht. Zudem gibt es seit einigen Tagen ein Proof of Concept, um die Schwachstelle auszunutzen. In den USA wurden wohl zahlreiche Regierungsstellen \u00fcber die L\u00fccke angegriffen. Und es gibt eine neue Schwachstelle in der Software (seit 15. Juni bekannt). Es kann nur geraten werden, die Software zu deaktivieren.<\/p>\n<p><!--more--><\/p>\n<h2>Der MOVEit-Fall im R\u00fcckblick<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/f0e0884fcf4749e68c100dc7fab1a809\" alt=\"\" width=\"1\" height=\"1\" \/><a href=\"https:\/\/www.ipswitch.com\/de\/moveit\" target=\"_blank\" rel=\"noopener\">MOVEit<\/a> ist eine Managed File Transfer (MFT)-Software, die eine \u00dcbertragung von Dateien zwischen verschiedenen Rechnern erm\u00f6glicht. Entwickelt wird die Software von Ipswitch, einer Tochtergesellschaft des US-Unternehmens Progress Software Corporation. MOVEit ist h\u00e4ufig in Firmen im Einsatz, um Dateien zwischen Kunden oder Gesch\u00e4ftspartnern per Internet auszutauschen. Dabei werden Uploads \u00fcber die Protokolle SFTP, SCP und HTTP unterst\u00fctzt, um die Dateien sicher zu \u00fcbertragen.<\/p>\n<p>Die Software f\u00e4llt seit Jahren durch (SQL-Injection) Schwachstellen auf \u2013 und Sicherheitsforscher halten den Einsatz dieser L\u00f6sung f\u00fcr \"fahrl\u00e4ssig\". Ende Mai 2023 wurde die MOVEit-Schwachstelle CVE-2023-34362 bekannt (siehe <a href=\"https:\/\/borncity.com\/blog\/2023\/06\/02\/bedrohungsstufe-4-bsi-warnung-vor-ausgenutzter-moveit-schwachstelle\/\">Bedrohungsstufe 4: BSI-Warnung vor ausgenutzter MOVEit-Schwachstelle<\/a>), wobei sich herausstellte, dass diese Sicherheitsl\u00fccke gezielt durch die Lace Tempest\/Clop-Ransomware-Gang (mutma\u00dflich bereits seit 2021) ausgenutzt wurde (siehe <a href=\"https:\/\/borncity.com\/blog\/2023\/06\/05\/lace-tempest-clop-ransomware-gang-nutzt-moveit-schwachstelle-cve-2023-34362\/\">Lace Tempest\/Clop-Ransomware-Gang nutzt MOVEit Schwachstelle CVE-2023-34362<\/a>).<\/p>\n<p>Im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2023\/06\/07\/moveit-schwachstelle-tangiert-100-deutsche-firmen-aoks-von-datenabfluss-betroffen\/\">MOVEit-Schwachstelle tangiert 100 deutsche Firmen, AOKs von Datenabfluss betroffen?<\/a> habe ich darauf hingewiesen, dass \u00fcber hundert deutsche Unternehmen\/Institutionen durch Datenabfl\u00fcsse in der MOVEit-Umgebung betroffen sein d\u00fcrften. Diverse AOKs und die Mainzer Verlagsgruppe VRM sind wohl betroffen. Die Tage habe ich aber <a href=\"https:\/\/www.heise.de\/news\/MOVEit-Luecke-AOK-findet-keine-Hinweise-auf-Datenabfluss-9187084.html\" target=\"_blank\" rel=\"noopener\">bei heise<\/a> gelesen, dass die AOK keine Hinweise auf einen Datenabfluss von Sozialdaten gefunden habe.<\/p>\n<p>Wenige Tage nach bekanntwerden der SQL-Injection-Schwachstelle CVE-2023-34362 wurde die n\u00e4chste Schwachstelle bekannt (siehe <a href=\"https:\/\/borncity.com\/blog\/2023\/06\/10\/moveit-transfer-neue-schwachstelle-dringend-patchen\/\">MOVEit Transfer: Neue Schwachstelle; dringend patchen!<\/a>). Die Software scheint sicherheitstechnisch nicht beherrschbar und sollte schleunigst deaktiviert werden.<\/p>\n<h2>Proof of Concept verf\u00fcgbar<\/h2>\n<p>Ich hatte die Tage bereits mitbekommen, dass Sicherheitsforscher ein Proof of Concept (POC) zum Ausnutzen der MOVEit-Schwachstelle publiziert haben. Die Nacht hat mich Stefan A. per Mail auf den Beitrag <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/moveit-transfer-customers-warned-of-new-flaw-as-poc-info-surfaces\/\" target=\"_blank\" rel=\"noopener\">MOVEit Transfer customers warned of new flaw as PoC info surfaces<\/a> hingewiesen. Der Hersteller warnt seine MOVEit Transfer-Kunden vor der neuen Schwachstelle, da PoC-Informationen auftauchen. Im Beitrag <a href=\"https:\/\/community.progress.com\/s\/article\/MOVEit-Transfer-Critical-Vulnerability-15June2023\" target=\"_blank\" rel=\"noopener\">MOVEit Transfer Critical Vulnerability \u2013 CVE Pending (June 15, 2023)<\/a> hei\u00dft es in der Programm-Community:<\/p>\n<blockquote><p>Progress has discovered a vulnerability in MOVEit Transfer that could lead to escalated privileges and potential unauthorized access to the environment. If you are a MOVEit Transfer customer, it is extremely important that you take immediate action as noted below in order to help protect your MOVEit Transfer environment.<\/p><\/blockquote>\n<p>Progress hat also eine Sicherheitsl\u00fccke in MOVEit Transfer entdeckt, die zu erweiterten Berechtigungen und potenziell unberechtigtem Zugriff auf die Umgebung f\u00fchren kann. Um welche Schwachstelle es sich genau handelt, bleibt in diesem Post unklar. Mehr erf\u00e4hrt man <a href=\"https:\/\/www.progress.com\/security\/moveit-transfer-and-moveit-cloud-vulnerability\" target=\"_blank\" rel=\"noopener\">in diesem Progress Sicherheitshinweis<\/a>, wo die bereits bekannten Schwachstellen:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.cve.org\/CVERecord?id=CVE-2023-35036\" target=\"_blank\" rel=\"noopener\">CVE-2023-35036<\/a> (June 9, 2023)<\/li>\n<li><a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2023-34362\" target=\"_blank\" rel=\"noopener\">CVE-2023-34362<\/a> (May 31, 2023)<\/li>\n<\/ul>\n<p>genannt werden. Progress schreibt zwar, dass das Produkt inzwischen \"voll gepatcht\" sei, empfiehlt aber den gesamten HTTP- und HTTPs-Datenverkehr zur MOVEit Transfer-Umgebung des Kunden von den zust\u00e4ndigen Administratoren deaktivieren zu lassen. Details liefert der obige Sicherheitshinweis des Herstellers.<\/p>\n<p><strong>Erg\u00e4nzung:<\/strong> Entweder habe ich es \u00fcberlesen (mir sind nur zwei CVEs im Text erinnerlich) oder es ist erst sp\u00e4ter hinzugekommen. Im <a href=\"https:\/\/www.progress.com\/security\/moveit-transfer-and-moveit-cloud-vulnerability\" target=\"_blank\" rel=\"noopener\">Progress Sicherheitshinweis<\/a> wird mit Datum 16. Juni 2023 jetzt eine Schwachstelle <a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2023-35708\" target=\"_blank\" rel=\"noopener\" data-sf-ec-immutable=\"\">CVE-2023-35708<\/a> (June 15, 2023) aufgelistet, die neu hinzu gekommen ist. Danke an den Leser f\u00fcr den Hinweis in den nachfolgenden Kommentaren.<\/p>\n<h2>US-Stellen \u00fcber MOVEit angegriffen<\/h2>\n<p>CNN berichtet in <a href=\"https:\/\/edition.cnn.com\/2023\/06\/15\/politics\/us-government-hit-cybeattack\/\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a>, dass mehrere US-Bundesbeh\u00f6rden von einem globalen Cyberangriff russischer Cyberkrimineller \u00fcber die MOVEit-Schwachstelle betroffen seien. Jen Easterly, Direktorin der CISA (Cybersecurity and Infrastructure Security Agency) best\u00e4tigt Reportern, dass man mit dem FBI daran arbeite,\u00a0 Bundesbeh\u00f6rden zu unterst\u00fctzen, die MOVEit verwenden. Die russische\u00a0 Clop-Ransomware-habe eine weit verbreitete Sicherheitsl\u00fccke ausgenutzt, die anscheinend Dutzende von Einrichtungen gef\u00e4hrdet hat. Einen \u00dcberblick, welches US-Stellen konkret angegriffen wurden, hatte man zu diesem Zeitpunkt wohl noch nicht.<\/p>\n<h2>Clop-Bande macht Opferliste \u00f6ffentlich<\/h2>\n<p>Die Clop-Ransomware-Gang hatte ja angek\u00fcndigt, Opfer, die sich nicht melden (um \u00fcber L\u00f6segeld zu verhandeln) bald \u00f6ffentlich blo\u00dfzustellen und erbeutete Daten zu ver\u00f6ffentlichen. Ich hatte Twitter bereits einen entsprechenden <a href=\"https:\/\/twitter.com\/1ZRR4H\/status\/1669028547275497482\" target=\"_blank\" rel=\"noopener\">Hinweis<\/a> vom 14. Juni 2023 gesehen, dass Clop nun die Opferliste \u00f6ffentlich macht.<\/p>\n<p><a href=\"https:\/\/twitter.com\/1ZRR4H\/status\/1669028547275497482\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Clop victims on MOVEit flaw\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2023\/06\/image-1.png\" alt=\"Clop victims on MOVEit flaw\" \/><\/a><\/p>\n<p>Das Unternehmen Shell ist ein prominentes Opfer, aber auch weitere Opfer sind bekannt (siehe <a href=\"https:\/\/federalnewsnetwork.com\/cybersecurity\/2023\/06\/energy-department-among-several-federal-agencies-hit-by-moveit-breach\/\" target=\"_blank\" rel=\"noopener\">diesen Artikel<\/a>). <a href=\"https:\/\/techcrunch.com\/2023\/06\/15\/moveit-clop-mass-hacks-banks-universities\/\" target=\"_blank\" rel=\"noopener\">Techcrunch<\/a> und <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/clop-ransomware-gang-starts-extorting-moveit-data-theft-victims\/\" target=\"_blank\" rel=\"noopener\">Bleeping<\/a> Computer haben einzelne Opfer benannt. Laut Bleeping Computer ist die deutsche Firma \"Heidelberger Druck\" (gemeint ist wohl die Heidelberger Druckmaschinen AG) Opfer der MOVEit-Schwachstelle. Deren Sprecher Florian Pfitzinger gibt aber gegen\u00fcber Bleeping Computer an, dass eine Analyse keine Datenabfl\u00fcsse ergeben habe. Laut <a href=\"https:\/\/www.watson.ch\/digital\/schweiz\/489544908-krankenversicherer-oekk-und-landal-greenparks-bestaetigen-clop-attacke\" target=\"_blank\" rel=\"noopener\">watson.ch<\/a> sind auch das Versicherungsunternehmen \u00d6KK (Schweizer Krankenkasse) und die auch in der Schweiz aktive Ferienpark-Betreiberin Landal unter den Opfern. Erg\u00e4nzung: Inzwischen wurde nachfolgende Liste von Opfern von Clop ver\u00f6ffentlicht.<\/p>\n<p><a href=\"https:\/\/twitter.com\/ransomwaremap\/status\/1669803529257594887\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" src=\"https:\/\/i.postimg.cc\/XqzFVW0B\/image.png\" alt=\"Clop MOVEit victims\" \/><\/a><\/p>\n<p>Weitere Informationen zu SWIFT etc. in <a href=\"https:\/\/borncity.com\/blog\/2023\/06\/16\/cyber-news-helmholtz-zentrum-berlin\/\">diesen Artikel<\/a> verschoben.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/06\/02\/bedrohungsstufe-4-bsi-warnung-vor-ausgenutzter-moveit-schwachstelle\/\">Bedrohungsstufe 4: BSI-Warnung vor ausgenutzter MOVEit-Schwachstelle<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/06\/05\/lace-tempest-clop-ransomware-gang-nutzt-moveit-schwachstelle-cve-2023-34362\/\">Lace Tempest\/Clop-Ransomware-Gang nutzt MOVEit Schwachstelle CVE-2023-34362<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/06\/07\/moveit-schwachstelle-tangiert-100-deutsche-firmen-aoks-von-datenabfluss-betroffen\/\">MOVEit-Schwachstelle tangiert 100 deutsche Firmen, AOKs von Datenabfluss betroffen?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/06\/10\/moveit-transfer-neue-schwachstelle-dringend-patchen\/\">MOVEit Transfer: Neue Schwachstelle; dringend patchen!<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]F\u00fcr Nutzer der Managed File Transfer (MFT)-L\u00f6sung MOVEit von Progress, die Opfer der im Mai 2023 bekannt gewordenen Schwachstelle wurden, deutet sich \u00c4rger an. Die Clop-Ransomware-Gruppe hat Daten von Opfern \u00f6ffentlich gemacht. Zudem gibt es seit einigen Tagen ein Proof &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/06\/16\/das-moveit-desaster-proof-of-concept-clop-gang-verffentlicht-opferdaten\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4328,3836],"class_list":["post-282605","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/282605","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=282605"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/282605\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=282605"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=282605"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=282605"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}