MOVEit零時差漏洞攻擊竊走英國電信主管機關機密資料

英國電信主管機關Ofcom本周坦承遭到檔案傳輸服務MOVEit零時差漏洞攻擊所累，部分機密資料被駭客下載。

Ofcom證實它是本周發生的MOVEit零時差攻擊的受害者之一。該機關說，其MOVEit資料庫中某些它所管理的公司的部分機密資訊，連同Ofcom 412位員工的個資已遭到攻擊者下載。

Ofcom表示他們已立即採取行動，不再使用MOVEit服務，也導入安全措施。他們已經火速通知受其影響的所有企業，也會為其員工提供協助。Ofcom也強調其系統皆未被駭。

6月初美國軟體業者Progress Software的檔案傳輸服務MOVEit發生零時差漏洞攻擊。微軟安全研究人員指出，操作勒索軟體Clop的駭客利用MOVEit的SQL注入漏洞，升高其權限以便存取使用這項服務的企業客戶的MOVEit資料庫，並藉由判斷資料庫結構，透過SQL指令操作資料庫運算及執行。

上周Clop駭客宣稱，已利用該漏洞攻擊「數百家」企業及組織，並說未付贖金者將會被公布資料於其暗網網站上。

Clop駭客的說法無從確認，但安全廠商Rapid 7偵測到，截至5月31日，有2,500多個MOVEit Transfer的執行個體曝露在開放網路上，大部分集中在美國。以產業而言，則涵括醫療、金融、保險、製造及政府部門。

目前已有英國薪資軟體供應商Zellis、加拿大新科舍省、及美國羅徹斯特大學（University of Rochester）等證實受到影響。其中Zellis的攻擊行動還波及客戶英國國家廣播公司（BBC）、英國航空、愛爾蘭航空（Aer Lingus）及藥妝連鎖Boots。

上周五Progress宣布修補好另一項新漏洞（CVE-2023-35036 ），但目前沒有跡象顯示漏洞已遭利用。