Cyberthreat.id - Microsoft secara resmi menghubungkan eksploitasi aktif yang sedang berlangsung dari kelemahan kritis dalam aplikasi Progress Software MOVEit Transfer ke aktor ancaman yang dilacaknya sebagai Lace Tempest.

"Eksploitasi sering kali diikuti dengan penerapan web shell dengan kemampuan eksfiltrasi data," kata tim Intelijen Ancaman Microsoft dalam serangkaian tweet sebagaimana dikutip The Hacker News. "CVE-2023-34362 memungkinkan penyerang mengautentikasi sebagai pengguna mana pun."

Lace Tempest, juga disebut Storm-0950, adalah afiliasi ransomware yang tumpang tindih dengan grup lain seperti FIN11, TA505, dan Evil Corp. Ia juga diketahui mengoperasikan situs pemerasan Cl0p.

Pelaku ancaman juga memiliki rekam jejak dalam mengeksploitasi kelemahan zero-day yang berbeda untuk menyedot data dan memeras korban, dengan kelompok tersebut baru-baru ini mengamati mempersenjatai bug parah di server PaperCut.

CVE-2023-34362 terkait dengan kerentanan injeksi SQL di Transfer MOVEit yang memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mendapatkan akses ke database aplikasi dan mengeksekusi kode arbitrer.

Diyakini ada setidaknya lebih dari 3.000 host yang terpapar menggunakan layanan Transfer MOVEit, menurut data dari perusahaan manajemen permukaan serangan Censys.

Mandiant milik Google, yang melacak aktivitas di bawah moniker UNC4857 dan telah memberi label web shell LEMURLOOT, mengatakan telah mengidentifikasi koneksi taktis yang luas dengan FIN11.

Badan Keamanan Siber dan Infrastruktur A.S. (CISA), minggu lalu, menambahkan cacat tersebut ke katalog Kerentanan yang Dieksploitasi (KEV), merekomendasikan agen federal untuk menerapkan tambalan yang disediakan vendor paling lambat 23 Juni 2023.

Pengembangan tersebut mengikuti eksploitasi massal zero-day serupa dari server Accellion FTA pada Desember 2020 dan GoAnywhere MFT pada Januari 2023, sehingga pengguna harus menerapkan tambalan sesegera mungkin untuk mengamankan dari potensi risiko.[]