ニューヨーク市教育省(NYC DOE)は、ハッカーが MOVEit Transfer サーバーから最大 45,000 人の学生の機密個人情報を含む文書を盗んだと発表した。
マネージド ファイル転送 (MFT) ソフトウェアは、特殊教育サービス プロバイダーを含むさまざまなベンダーにデータとドキュメントを内部および外部に安全に転送するために、ニューヨーク市 DOE によって使用されました。
NYC DOE は、開発者が悪用された脆弱性 (CVE-2023-34362) に関する情報を公開するとすぐにサーバーにパッチを適用しました。しかし、攻撃者はセキュリティ アップデートが利用可能になる前のゼロデイとして、すでにこのバグを大規模な攻撃に悪用していました。
侵害が発見された後、影響を受けたサーバーはオフラインになり、ニューヨーク市 DOE はニューヨーク市サイバーコマンドと協力してこのインシデントに対処しています。
「内部調査も実施し、特定のDOEファイルが影響を受けていることが判明しました。影響を受けたファイルの調査は進行中ですが、暫定結果によると、DOEスタッフと関連サービスプロバイダーに加えて、約45,000人の学生が影響を受けたことが示されています。」とNYC DOEは述べています。 COOのEmma Vadehra氏は週末に発表した声明でこう述べた。
「約 19,000 件の文書が許可なくアクセスされました。影響を受けたデータの種類には、社会保障番号や従業員 ID 番号が含まれます (影響を受けるすべての個人が対象であるとは限りません。たとえば、約 9,000 件の社会保障番号が含まれていました)。
「FBIは、数百の組織に影響を与えた広範な侵害を捜査中です。現在、ニューヨーク市警とFBIの捜査に協力しています。」
Clop ランサムウェア集団は 6 月 5 日の CVE-2023-34362 MOVEit Transfer 攻撃に対する犯行声明を出し、サイバー犯罪集団は「数百社」の MOVEit サーバーに侵入したと述べています。
クロール氏はまた、クロップ氏が2021年からパッチが適用されたMOVEitゼロデイのエクスプロイトを積極的にテストし、少なくとも2022年4月から侵害されたサーバーからデータを抽出する方法を研究していたという証拠も明らかにした。
この大規模なデータ盗難キャンペーンへのクロップの関与は、MFT プラットフォームを標的とする広範なパターンの一部です。
これまでの事例としては、2020年12月のAccellion FTAサーバー、2021年のSolarWinds Serv-Uサーバー、そして今年1月初めのGoAnywhere MFTサーバーの広範な悪用などが挙げられます。
影響を受けた組織はすでに収奪されている
Clop ギャングは、ほぼ 2 週間前の 6 月 15 日、MOVEit データ盗難攻撃の影響を受けた組織を、Clop のダークウェブ データ漏洩サイトに名前を公開して恐喝を開始しました。
シェル、ジョージア大学 (UGA) およびジョージア大学システム (USG)、ハイデルベルガー ドラック、ユナイテッドヘルスケア スチューデント リソース (UHSR)、およびランダル グリーンパークスは、影響を受けたことを確認した組織のほんの一部です。
MOVEit Transfer 攻撃に関連した侵害を既に明らかにした他の被害者には、 米国ミズーリ州、 米国イリノイ州、 Zellis (顧客である BBC、Boots、Aer Lingus、アイルランドの HSE とともに)、 Ofcam 、 ノバスコシア州政府が含まれます。 、 American Board of Internal Medicine 、およびExtreme Networks 。
CNNが報じたように、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA) は、いくつかの米国連邦機関も侵害されたことを明らかにしました。フェデラル・ニュース・ネットワークは、この攻撃は米国エネルギー省(DOE)の2機関にも影響を与えたと伝えた。
Progressは先週、 新たなSQLインジェクション(SQLi)のセキュリティ欠陥(CVE-2023-35708)に関する情報がオンラインで公開されたことを受け、MOVEit Transferの顧客に対しサーバーへのHTTPアクセスを制限するよう警告した。
この警告は、別の勧告で、まとめて CVE-2023-35036 として追跡される他のいくつかの重大な SQL インジェクションの脆弱性が明らかにされた後に発表されました。
Comments