安全内参7月21日消息，利用MOVEit文件传输软件漏洞实施的大规模软件供应链攻击已经进入第七周，受害者数量和损失持续攀升。

今年5月下旬，俄罗斯勒索软件组织Clop利用美国Progress Software公司旗下产品MOVEit的一个安全漏洞，从易受攻击网络中窃取大批文件。截至目前，已有近400家组织受到影响，其中不乏美国能源部等联邦机构、能源巨头壳牌、德意志银行、普华永道、零售巨头TJX等知名公司机构。

零日漏洞曝光近两月，受害机构逼近400家

零售巨头TJX在7月19日确认：“在Progress通知我们该漏洞之前，一些文件已被未经授权的第三方下载。”TJX拥有TJ Maxx、Marshalls、HomeGoods、HomeSense和Sierra等多个零售品牌。

虽然公司遭到攻击影响，TJX发言人强调：“我们认为TJX系统中没有任何客户或员工个人信息被未经授权用户访问，攻击未对TJX造成任何重大影响。”

拥有20多个美容品牌的雅诗兰黛公司也可能是受害者。Clop团伙在其泄露网站上列出该公司信息。雅诗兰黛也于同一天披露了“网络安全事件”。

据网络安全厂商Emsisoft统计，截至7月19日，共有383家组织和超过2千万个人遭受这次攻击。该统计的数据来源包括泄露通知、美国证券交易委员会（SEC）公告、其他公开数据及Clop团伙的泄露网站。

Emsisoft团队指出，一些受到MOVEit漏洞影响的公司为许多其他组织提供服务。

例如，Clop利用了英国薪资服务提供商Zellis部署的MOVEit工具。该公司客户众多，包括英国航空公司、英国广播公司（BBC）和英国博姿连锁药店。结果，俄罗斯黑客团伙利用MOVEit软件漏洞窃取了这些公司的员工记录。据Emsisoft报道，另一家MOVEit用户美国学生信息中心，与美国3500多所学校合作，处理1710万名学生的信息。因此，受害者的总数很可能会继续增长。

Emsisoft威胁分析师Brett Callow表示：“虽然严重性不及SolarWinds事件，这依然是近年来规模最大的黑客事件之一。后续需对数百万人进行信用监控、引发无数诉讼，损失将极其巨大。”

Progress Software公司目前面临多起指控，控方认为MOVEit漏洞是安全性不足所致。据《华尔街日报》消息，相关诉讼至少有13起。

Emsisoft补充道：“更糟糕的是，被窃取信息有极大可能遭到滥用。不单单是Cl0p团伙可能滥用这些信息。一旦信息在网上公开，全球的网络犯罪分子都可以将这些信息用于商业电子邮件欺诈、身份欺诈。”

Progress Software公司拒绝回答有多少组织受到MOVEit漏洞影响。

该公司一位发言人表示：“我们会继续专注于客户支持。Emsisoft报告表明，频繁和透明的更新有助于鼓励客户迅速应用我们发布的漏洞补丁。我们将继续与行业领先的网络安全专家合作，调查攻击事件，确保采取适当的应对措施。据我们目前所知，5月31日漏洞之后发现的漏洞没有被大幅滥用。”

自5月底以来，其他漏洞陆续被发现。

漏洞曝光时间线

5月31日披露的首个漏洞是SQL注入漏洞。次日，Progress Software修补该漏洞，标记为CVE-2023-34362。

6月9日，第二个漏洞CVE-2023-35036被发现，并于次日被修复。

6月15日，Progress Software披露了第三个漏洞CVE-2023-35708。

最后（我们希望是），7月5日，又有三个漏洞CVE-2023-36934、CVE-2023-36932、CVE-2023-36933被发现并得到修复。

网络安全评级公司Bitsight表示，虽然受害者数量不断增加，但是易受攻击的组织在修补MOVEit漏洞方面表现相当不错。

本周四，Bitsight研究员Noah Stone在博客写道：5月31日漏洞披露以来，“易受CVE-2023-34362攻击的组织数量已经减少，至少77%最初受影响的组织现在不再易受攻击，而最初受影响的组织中至多还有23%仍然存在漏洞。后续披露的CVE漏洞，易受攻击的组织比率更高。”

更多组织仍然容易受到本月早些时候披露的三个最新漏洞的攻击，这并不令人意外。Noah Stone表示：“最初受到较新CVE漏洞攻击的组织中，至多有56%仍然容易受到攻击。”

Huntress公司的威胁猎人发现了第2个MOVEit漏洞。该公司高级安全研究员John Hammond表示，这类供应链攻击对犯罪分子越来越具有吸引力，因为它们可以为攻击者带来更多利益。

John Hammond表示：“不论是像MOVEit Transfer这样的攻击，还是过去的重大入侵案例，比如Kaseya VSA勒索软件事件、SolarWinds漏洞利用事件，所有攻击都对软件供应链有影响。这大幅提高了潜在受害者数量，影响了下游组织和供应商/消费者关系。对黑客来说，这种一对多的影响非常有吸引力。这也是供应链威胁如此阴险的原因。”

当然，John Hammond指出，这类入侵意味着“威胁行为者发起的每次攻击都是一次性的。下游受害者遭受损失后，机会就不复存在，攻击者必须重新发动攻击。”