اضغط هنا لتصفح النشرة من الموقع

صباح الخير قراءنا الكرام،

مرحبًا بكم في العدد الجديد من نشرة أمن المعلومات والتي تتناول شهريًا أهم الأحداث الخاصة بأمن المعلومات، إضافةً إلى التوعية بمخاطر الفضاء الإلكتروني.

يرصد هذا العدد مجموعة من أبرز الأحداث في مجال أمن المعلومات، فضلًا عن الثغرات والهجمات الإلكترونية التي تهم المستخدمين.

أهم الأخبار

• قامت مجموعة Midnight Blizzard الروسية باختراق رسائل البريد الإلكتروني لشركة مايكروسوفت.

• Google تسوي دعوى قضائية بقيمة 5 مليارات دولار بشأن تتبع المستخدمين في وضع التصفح الخفي 'Incognito Mode'.

• اختراق حسابات Netgear وHyundai على موقع X لبرامج دفع العملات المشفرة.

• فرع شركة Xerox في الولايات المتحدة لحلول الأعمال التجارية XBS تعرَّض لانتهاك بعد تسريب بيانات من قِبل عصابة برامج الفدية الإلكترونية.

• اختراق نظام Tesla مرتين خلال مسابقة Pwn2Own Automotive واكتشاف 49 ثغرة أخرى.

مخاطر وثغرات

• ثغرة حرجة في cisco تتيح للمهاجمين الاستيلاء عن بُعد على أنظمة الاتصال الموحدة.

• مهاجمون صينيون استخدموا ثغرة أمان Zero-Day في نظام VMware.

• Ivanti تصدر تصحيحًا لثغرة حرجة في جهاز Endpoint Manager.

• تم الكشف عن ثغرة أمنية خطيرة RCE في Juniper SRX Firewalls وEXSwitches.

• CISA تشير إلى 6 ثغرات أمنية - Apple وApache وAdobe وD-Link وJoomla.

معلومة أمنية

• كبرى الهجمات السيبرانية في عام 2023
  
             

قامت مجموعة Midnight Blizzard الروسية باختراق رسائل البريد الإلكتروني لشركة مايكروسوفت

20 يناير 2024

أعلنت Microsoft أن مجموعة Midnight Blizzard المرتبطة بروسيا قد اخترقت بعض حسابات البريد الإلكتروني لديها.

حذرت Microsoft من أن بعض حسابات البريد الإلكتروني لديها قد تم اختراقها من قبل مجموعة Midnight Blizzard المعروفة بالارتباط بالهجمات السيبرانية والتجسس الروسية. وأعلنت Microsoft أنها قامت بإخطار السلطات القانونية والجهات الرقابية ذات الصلة.

كانت مجموعة Midnight Blizzard (المعروفة أيضًا باسم APT29 ومجموعة SVR وCozy Bear وNobelium وBlueBravo وThe Dukes) إلى جانب مجموعة التجسس السيبراني APT28  معتمدة في الهجوم على اللجنة الوطنية الديمقراطية وموجة من الهجمات التي استهدفت انتخابات الرئاسة الأمريكية لعام 2016. وتعتبر المجموعة مسؤولة عن هجوم سلسلة التوريد SolarWinds الذي ضرب في عام 2020 أكثر من 18,000 منظمة عميلة، بما في ذلك Microsoft.

اكتشفت Microsoft الاختراق في 12 يناير 2024، وقامت فورًا بإطلاق تحقيق في الانتهاك الأمني. أكدت الشركة أنها قامت بإغلاق حسابات التهديد وتقليل حدة الهجوم.

استنادًا إلى التحليل الأولي أفادت إحدى الوثائق التقديمية 8-K المقدمة للجنة الأوراق المالية والأسواق في الولايات المتحدة: "في 12 يناير 2024، اكتشفت Microsoft (الشركة أو نحن) أن مهاجمًا مرتبطًا بدولة قد اكتسب الوصول إلى معلومات وقام بتسريبها من نسبة صغيرة جدًا من حسابات البريد الإلكتروني للموظفين، بما في ذلك أعضاء فريق القيادة العليا لدينا والموظفين في قسم الأمان السيبراني والقانون وغيرها من الوظائف" وتضيف الوثيقة: "نحن نفحص المعلومات التي تم الوصول إليها لتحديد تأثير الحادث. كما نواصل التحقيق في مدى الحادث."

أرجعت الشركة الهجوم إلى مجموعة التجسس السيبراني الروسية Midnight Blizzard.

والتي اخترقت نظم الشركة في أواخر نوفمبر 2023 بواسطة هجوم Password spraying. وهو نوع من هجمات القوة الغاشمة brute force attack، حيث يقوم المهاجمون بتسجيل الدخول بناءً على قائمة من أسماء المستخدمين مع كلمات مرور افتراضية على التطبيق. في هذا السيناريو الهجومي، يستخدم المهاجمون كلمة مرور واحدة ضد العديد من الحسابات المختلفة على التطبيق لتجنب إغلاق الحسابات الذي يحدث عادة عند تنفيذ هجوم القوة الغاشمة brute force attack على حساب واحد مع العديد من كلمات المرور.

كشفت Microsoft أن المهاجمين حصلوا على وصول إلى حساب اختباري غير إنتاجي قديم واستخدموا أذونات الحساب للوصول إلى نسبة صغيرة جدًا من حسابات البريد الإلكتروني لشركة Microsoft. حصل المهاجمون على وصول إلى حسابات أعضاء فريق القيادة العليا للشركة والموظفين في الأمان السيبراني والقانون وغيرها من الوظائف. كما أكدت الشركة أيضًا أن المهاجمين قاموا بتسريب بعض رسائل البريد الإلكتروني والمستندات المرفقة. استهدفت المجموعة في البداية حسابات البريد الإلكتروني لجمع معلومات استخباراتية حول التحقيقات التي قامت بها Microsoft في أنشطة.Midnight Blizzardوسوف تقوم Microsoft بإعلام الموظفين المتأثرين.

أشارت الشركة إلى أن المهاجمين لم يستغلوا أي ثغرة في منتجات أو خدمات Microsoft. وأضافت Microsoft أيضًا أنه لا توجد أدلة على أن المهاجم قد حصل على وصول إلى بيئات العملاء أو الأنظمة الإنتاجية أو رمز المصدر أو أنظمة الذكاء الاصطناعي.

أفادت Microsoft "لم يكن الهجوم ناتجًا عن ثغرة في منتجات أو خدمات Microsoft. حتى الآن، سنقوم بإعلام العملاء إذا كان هناك أي إجراء مطلوب." "يبرز هذا الهجوم الضوء على الخطر المستمر الذي تتعرض له جميع الهيئات من مهاجمي التهديد المتقدمين المدعومين من الدولة مثل Midnight Blizzard"".

وفقًا للوثيقة 8-K، لم يكن للحادث تأثير ملموس على عمليات الشركة.
"لم تقر الشركة بعد ما إذا كان الحادث على وجه الدقة ممكن أن يؤثر بشكل ملموس على الحالة المالية للشركة أو نتائج عملياتها." 

الدرس المستفاد من الحادث هو أن الحسابات المخترقة لم تكن محمية بشكل كافٍ ضد هجمات القوة الغاشمة brute force attacks. تشمل التقنيات الفعالة للتقليل من هجمات القوة الغاشمة تمكين المصادقة متعددة العوامل (MFA)، واستخدام كلمات مرور قوية، واستخدام CAPTCHAs (يمنع محاولات تسجيل الدخول القادمة من برامج الروبوت من خلال تقديم اختبارات تم إنشاؤها عشوائيا لزوار موقع الويب)، وتحديد معدل الإرسال من كل IP، وتنفيذ قفل الحساب، ومراقبة السجلات.

Google تسوي دعوى قضائية بقيمة 5 مليارات دولار بشأن تتبع المستخدمين في وضع التصفح الخفي 'Incognito Mode'
 

02 يناير 2024

توصلت Google إلى تسوية في دعوى قضائية تم رفعها في يونيو 2023 تزعم أن الشركة أضلت المستخدمين عبر تتبع نشاطهم على الإنترنت والذين اعتقدوا أن استخدامهم للإنترنت يظل خاصًا عند استخدام وضع "التصفح الخفي" "Incognito Mode" أو "الخاص" "private mode" في متصفحات الويب.

كانت الدعوى القضائية الجماعية تطالب بتعويضات تبلغ ما لا يقل عن 5 مليارات دولار. ولم يتم الكشف عن شروط التسوية.

ادعى المستخدمون أن Google انتهكت قوانين التنصت الفيدرالية وتتبعت نشاط المستخدمين باستخدام Google Analytics لجمع المعلومات أثناء وجودهم في وضع الخصوصية.

وأكدوا أن هذا سمح للشركة بجمع "كم هائل من المعلومات" حول المستخدمين الذين اعتبروا أنهم اتخذوا الخطوات الكافية لحماية خصوصيتهم عبر الإنترنت.

في وقت لاحق، حاولت Google إلغاء الدعوى القضائية، مشيرة إلى الرسالة التي تظهر عندما يقوم المستخدمون بتشغيل وضع التصفح الخفي "Incognito Mode" في Chrome، والتي تُبلغ المستخدمين أن نشاطهم قد يظل مرئيًا للمواقع التي يزورونها أو صاحب العمل أو المدرسة أو مزود خدمة الإنترنت.

جدير بالذكر هنا في هذه المرحلة أن تمكين وضع التصفح الخفي "Incognito Mode" أو الخاص في متصفح الويب يمنح المستخدمين فقط خيار البحث على الإنترنت دون أن يتم حفظ نشاطهم محليًا في المتصفح.

ومع ذلك، يمكن للمواقع التي تستخدم تقنيات الإعلانات وواجهات برمجة تطبيقات التحليل الإحصائي تتبع المستخدمين داخل جلسة التصفح الخفية ويمكنها مواصلة ترتيب تلك الأنشطة، على سبيل المثال، من خلال مطابقة عناوين IP الخاصة بهم.

حكمت قاضية المقاطعة الأمريكية إيفون جونزاليس روجرز بأن "طلب جوجل يعتمد على فكرة أن المدعين وافقوا على قيام جوجل بجمع بياناتهم أثناء التصفح في الوضع الخاص" "وبما أن Google لم تخبر المستخدمين صراحةً بأنها تفعل ذلك، لا يمكن للمحكمة أن تجد كمسألة قانونية أن المستخدمين وافقوا صراحة على جمع البيانات المعنية."
 

اختراق حسابات Netgear وHyundai على موقع X لبرامج دفع العملات المشفرة

08 يناير 2024

تم اختراق حسابات Twitter/X الرسمية لشركتي Netgear وHyundai MEA (الشرق الأوسط وإفريقيا)، واللتين يتابعهما أكثر من 160,000 متابع، وذلك لإطلاق عمليات احتيال تهدف إلى إصابة الضحايا المحتملين ببرامج ضارة تستنزف محافظ العملات المشفرة.

في حين استعادت Hyundai بالفعل الوصول إلى حسابها وعدلت الجدول الزمني من جميع الروابط التي كانت توجه مستخدمي X إلى مواقع ضارة، فإن Netgear لم تستعد لاستعادة السيطرة على حسابها حتى الآن، وبعض ردود التغريد الخاصة بالمهاجم لا تزال متاحة.

قام المهاجمون بتغيير اسم حساب Hyundai MEA (الشرق الأوسط وإفريقيا) لانتحال شخصية Overworld.

حذر Overworld بشكل متكرر متابعيه على Twitter: "يرجى توخي الحذر والابتعاد عن الأشخاص الذين ينتحلون حساباتنا". 

تم اختراق حساب Netgear في 6 يناير واستُخدم فقط للرد على تغريدات BRCapp، حيث تم جذب المتابعين إلى موقع ضار يعد بمنح أول 1,000  مستخدم مسجل حديثًا 100,000 دولار.

ومع ذلك، فإن أي شخص قام بربط محافظه بالموقع قد تمت سرقته والعملات غير القابلة للاستبدال (NFTs) من قبل المهاجمين.

مستخدمو Twitter أصبحوا مقيدين، حيث يستهدفهم المهاجمون بشكل متزايد وتخترق حسابات X الموثقة للحكومة والشركات باستمرار، والتي تحمل علامات التحقق باللون الذهبي واللون الرمادي لإضفاء مصداقية على تغريداتهم الضارة التي تروّج لعمليات احتيال العملات المشفرة، ومواقع التصيد الاحتيالية، ومواقع انتشار برامج استنزاف العملات المشفرة.

على سبيل المثال، تم اختراق حساب الشركة المتخصصة في أمان web3 CertiK لدفع برنامج استنزاف للعملات المشفرة، بينما تم اختطاف حساب Google الفرعي وشركة Mandiant لأمن المعلومات، على الرغم من تفعيل المصادقة الثنائية 2FA.

في وقت سابق، استخدم المهاجمون حساب Twitter الرسمي لـ Bloomberg Crypto لجذب متابعيه، الذين يقاربون مليون متابع، إلى موقع ضار مصمم لسرقة بيانات اعتمادهم على Discord. 

وكما كشف محللو تهديدات blockchain في ScamSniffer في ديسمبر 2023، سرق "MS Drainer" الذي يعرف أيضًا ببرنامج استنزاف محافظ واحد تقريبًا 59 مليون دولار من العملات المشفرة من حوالي 63 ألف شخص في حملة إعلانية على Twitter بين مارس ونوفمبر 2023.

يواجه مستخدمو X أيضًا هجمة مستمرة من إعلانات العملات المشفرة الضارة التي تعيد توجيههم إلى توزيعات جوائز وهمية، والعديد من عمليات الاحتيال، وبالطبع، برامج استنزاف العملات المشفرة.

نظرًا لأن X يقول إنه يعرض إعلانات استنادًا إلى اهتمامات كل مستخدم، فإن الأشخاص الذين لا يرتبطون بحسابات أخرى للعملات المشفرة قد لا يرون هذه الإعلانات الضارة.

ومع ذلك، يتعرض أولئك الذين ينشطون في مجال العملات المشفرة الآن لهجوم من مثل هذه الإعلانات الخبيثة بشكل لا ينتهي.
 

فرع شركة Xerox في الولايات المتحدة لحلول الأعمال التجارية XBS تعرض لانتهاك بعد تسريب بيانات من قِبل عصابة برامج الفدية الإلكترونية

2 يناير 2024

تم اختراق القسم الأمريكي لحلول الأعمال التجارية (XBS) التابعة لشركة Xerox من قبل مهاجمين مع إمكانية الكشف عن معلومات شخصية محدودة، وفقًا لبيان صادر عن الشركة الأم، شركة Xerox.

تختص XBS في تكنولوجيا الوثائق والخدمات، وتقدم منتجات متنوعة، بما في ذلك الطابعات وآلات التصوير وأنظمة الطباعة الرقمية، بالإضافة إلى الخدمات الاستشارية والإمدادات ذات الصلة.

أضافت عصابة الفدية INC Ransom الشركة إلى بوابتها لابتزاز الأموال في 29 ديسمبر 2023، مدعية أنها سرقت بيانات حساسة ووثائق سرية من أنظمتها.

أفادت Xerox، "اقتصر الحادث على XBS  الولايات المتحدة وهم يعملون بنشاط مع خبراء أمان موثوقين من أجل إجراء تحقيق دقيق في هذا الحادث وسوف يتم اتخاذ الخطوات الضرورية لتأمين بيئة تقنية المعلومات الخاصة بـ XBS بشكل أكبر."

أعلنت الشركة أن الهجوم لم يكن له أي تأثير على عمليات Xerox أو XBS ومع ذلك، أشار التحقيق الأولي إلى تعرض كمية محدودة من المعلومات الشخصية.

تشمل العينات البيانية المشاركة على موقع تسريب بيانات INC Ransom، التواصل البريدي (مع محتوى وعناوين معروضة)، تفاصيل الدفع، الفواتير، نماذج الطلبات المملوءة، وأوامر الشراء.

يمكن للمهاجمين أن يمتلكوا بيانات عن عملاء XBS متعددين وشركائها وموظفيها، ولكن مدى الاختراق غير معروف في الوقت الحالي.

تؤكد Xerox أنها ستقوم بإخطار جميع الأفراد المتأثرين المؤكد تأثرهم بهذا الحادث.

تمت ملاحظة أن تسجيل دخول Xerox قد تمت إزالته من بوابة تسريبات INC Ransom لأسباب غير معروفة، وهو ما يشير عادة إلى استئناف المفاوضات بين الضحية والمهاجمين الإلكترونيين.

كان لدى Xerox سابقًا هجوم برامج الفدية في صيف عام 2020، حيث قامت مجموعة Maze ransomware بإضافة الشركة إلى قائمة ضحاياها، مهددة بنشر أكثر من 100 جيجابايت من البيانات المسروقة.

اختراق نظام Tesla مرتين خلال مسابقة Pwn2Own Automotive واكتشاف 49 ثغرة أخرى

26 يناير 2024 

انتهت النسخة الأولى من Pwn2Own Automotive بربح المنافسين 1,323,750 دولار أمريكي لاختراق Tesla مرتين وعرض 49 خطأً برمجيًا في أنظمة السيارات الكهربائية المتعددة في الفترة ما بين 24 و26 يناير 2024.

طوال المسابقة التي نظمتها مبادرة Zero Day (ZDI) التابعة لشركة Trend Micro في طوكيو، اليابان، خلال مؤتمر السيارات العالمي، استهدف المتسابقون أجهزة شحن السيارات الكهربائية (EV) المصححة بالكامل، وأنظمة المعلومات والترفيه، وأنظمة تشغيل السيارات.

بعد استغلال ثغرة Zero Day وإبلاغ مقدمي الخدمات عنها خلال Pwn2Own، يكون أمامهم 90 يومًا لإصدار تصحيحات الأمان قبل أن تكشف مبادرة Zero Day من Trend Micro عنها علنًا.

فاز فريق Synacktiv بمسابقة Pwn2Own Automotive 2024، حيث حصل على 450 ألف دولار نقدًا، يليه فريق fuzzware.io بمبلغ 177,500 دولار، وMidnight Blue/PHP Hooligans بمبلغ 80,000 دولار.

اخترق Synacktiv سيارة Tesla مرتين، وحصل على أذونات المسؤول على مودم Tesla عن طريق ربط ثلاث ثغرات أمنية في اليوم الأول وعرض تجربة الهروب من وضع الحماية لنظام Tesla Infotainment System عبر سلسلة استغلال ذات Zero Day في اليوم الثاني.

قاموا أيضًا بعرض سلسلتين فريدتين من الأخطاء ضد محطة Ubiquiti Connect EV ومحطة شحن JuiceBox 40 Smart EV، بالإضافة إلى استغلال ثلاث ثغرات تستهدف نظام التشغيل Automotive Grade Linux.

سيطرت Synacktiv أيضًا على مسابقة Pwn2Own Vancouver 2023 في مارس 2023، حيث كسبت 530 ألف دولار وسيارة Tesla مقابل سلسلتي استغلال تستهدفان Gateway وInfotainment Unconfined Root.

في أكتوبر Pwn2Own Toronto 2023، فاز المتسابقون بأكثر من مليون دولار مقابل 58 ثغرة Zero Day واستغلت الثغرات المتعددة استهداف المنتجات الاستهلاكية، بما في ذلك الهاتف الذكي Samsung Galaxy S23 ونماذج الطابعات المتعددة وأنظمة المراقبة وأجهزة التخزين المتصلة بالشبكة (NAS).

في وقت سابق من هذا الشهر، أعلنت ZDI أنه من المقرر إجراء مسابقة Pwn2Own Vancouver 2024 بدءًا من 20 مارس خلال مؤتمر CanSecWest 2024.

سيتضمن الحدث مجموع جوائز يزيد على 1,000,000 دولار أمريكي للثغرات في مختلف فئات البرامج وأنظمة السيارات الموجودة في سيارات Tesla Model 3 وModel S.
 

ثغرة حرجة في cisco تتيح للقراصنة الاستيلاء عن بُعد على أنظمة الاتصال الموحدة

 26 يناير 2024

 
أصدرت cisco تصحيحات لمعالجة ثغرة أمنية حرجة تؤثر على منتجات الاتصال الموحد Unified Communications وحلول مراكز الاتصال Contact Center Solutions، والذي يمكن أن يسمح للمهاجم البعيد غير المصرح له بتنفيذ تعليمات برمجية على جهاز متأثر.

تم تتبع هذه الثغرة برقم CVE-2024-20253 تصنيف (CVSS: 9.9)، وتنبع المشكلة من معالجة غير صحيحة للبيانات التي يقدمها المستخدم، والتي يمكن أن يستغلها المهاجم لإرسال رسالة مصممة بشكل خاص إلى listening port في جهاز عرضة للهجوم.

أفادت cisco: "يمكن للهجوم أن يسمح للمهاجم بتنفيذ أوامر عشوائية على نظام التشغيل الأساسي بامتيازات مستخدم خدمات الويب. مع الوصول إلى نظام التشغيل الأساسي، يمكن للمهاجم أيضًا الوصول لصلاحيات المسؤول root عن الجهاز المتأثر".

يعود الفضل إلى الباحث الأمني Julien Egloff من شركة Synacktiv  لاكتشاف والإبلاغ عن CVE-2024-20253.فيما يلي المنتجات المتأثرة: -

• Unified Communications Manager (versions 11.5, 12.5(1), and 14)

• Unified Communications Manager IM & Presence Service (versions 11.5(1), 12.5(1), and 14)

• Unified Communications Manager Session Management Edition (versions 11.5, 12.5(1), and 14)

• Unified Contact Center Express (versions 12.0 and earlier and 12.5(1))

• Unity Connection (versions 11.5(1), 12.5(1), and 14), and

• Virtualized Voice Browser (versions 12.0 and earlier, 12.5(1), and 12.5(2)

على الرغم من عدم وجود حلول تتناول الثغرات، فإن الشركة المصنعة لمعدات الشبكات تحث المستخدمين على إعداد قوائم التحكم في الوصول للحد من الوصول، حيث لا يمكن تطبيق التحديثات على الفور.

أفادت الشركة: "قم بإنشاء قوائم التحكم في الوصول (ACLs) على الأجهزة الوسيطة التي تفصل مجموعة Cisco Unified Communications أو Cisco Contact Center Solutions عن المستخدمين وبقية الشبكة للسماح بالوصول فقط إلى منافذ الخدمات المنشورة.

ويأتي هذا الكشف بعد أسابيع من قيام Cisco بشحن إصلاحات لخلل أمني خطير يؤثر على Unity Connection CVE-2024-20272، درجة (CVSS: 7.3) والتي قد تسمح للخصم بتنفيذ أوامر عشوائية على النظام الأساسي.
 

مهاجمون صينيون استخدموا ثغرة أمان Zero-Day في نظام VMware 

20 يناير 2024
 
 

تم ربط مجموعة متقدمة للتجسس السيبراني ذات صلة بالصين باستغلال ثغرات أمان في أجهزة VMware وأجهزة Fortinet بسوء استخدام ثغرة حرجة في خادم VMware vCenter Server وهي ثغرة جديدة "Zero-Day" منذ نهاية عام 2021.

وأعلنت Mandiant، التي تمتلكها Google، في تقرير: "لدى UNC3886 سجل حافل في استخدام ثغرات الأمان Zero-Day لإكمال مهامهم دون اكتشاف، وهذا المثال الأخير يبرهن على قدراتهم".

الثغرة المعنية هي CVE-2023-34048 (درجة CVSS: 9.8)، وهي كتابة خارج الحدود يمكن استغلالها من قبل مهاجم خبيث لديه وصول إلى شبكة vCenter Server لتحقيق تنفيذ التعليمات البرمجية عن بعد. تم إصلاحها بواسطة الشركة التابعة لـ Broadcom في 24 أكتوبر 2023.

VMware، أكدت في تحديثها للتوجيه بأنه "قد حدث استغلال للثغرة CVE-2023-34048 في البيئة الحقيقية".

ظهرت UNC3886 لأول مرة في سبتمبر 2022 عندما اكتشف أنها تستفيد من ثغرات أمان غير معروفة سابقًا في VMware لإدخال باب خلفي إلى أنظمة Windows وLinux، باستخدام عائلات البرامج الضارة مثل VIRTUALPITA وVIRTUALPIE.

تظهر النتائج الأخيرة من Mandiant أن الثغرة المستغلة من قبل الجهة الدولية المستهدفة لشركة VMware هي ببساطة CVE-2023-34048، مما يسمح لها بالحصول على وصول متميز إلى نظامvCenter.

تتضمن المرحلة التالية من الهجوم استرجاع أوراق "vpxuser" بوضوح للمضيفين والاتصال بها لتثبيت البرمجيات الضارة VIRTUALPITA وVIRTUALPIE، مما يمكّن الخصم من الاتصال المباشر بالمضيفين.

هذا في النهاية يمهد الطريق لاستغلال ثغرة أخرى في VMware (CVE-2023-20867، درجة CVSS: 3.9)، لتنفيذ أوامر تعسفية ونقل الملفات إلى ومن الآلات الافتراضية من مضيف ESXi المخترق، كما كشفت عنه Mandiant في يونيو 2023. 

يُفضل على مستخدمي خادم VMware vCenter تحديث إصداراتهم إلى أحدث إصدار للتخفيف من أي تهديدات محتملة.

في السنوات الأخيرة، استغلت UNC3886 أيضًا ثغرة CVE-2022-41328 (درجة CVSS: 6.5)، وهي ثغرة path traversal في برنامج Fortinet FortiOS، لنشر THINCRUST وCASTLETAP لتنفيذ أوامر تعسفية تلقاها من خادم عن بُعد وتسريب البيانات الحساسة.

تستهدف هذه الهجمات على وجه التحديد تقنيات الجدران النارية والتشبيك الظاهري بسبب عدم دعمها لحلول اكتشاف واستجابة الأنظمة في نقاط النهاية (EDR)، مما يسمح للمهاجمين بالبقاء داخل البيئات المستهدفة لفترات طويلة من الزمن.
 

Ivanti تصدر تصحيحًا لثغرة حرجة في جهاز Endpoint Manager

5 يناير 2024

    
أصدرت Ivanti تحديثات أمنية لمعالجة ثغرة حرجة تؤثر على جهاز إدارة نقاط النهاية (EPM)، والتي إذا تم استغلالها بنجاح، يمكن أن تؤدي إلى تنفيذ أوامر برمجية عن بُعد على الخوادم الضعيفة.

يُتتبع هذا باسم CVE-2023-39336، وقد تم تصنيف الثغرة بدرجة 9.6 من 10 على نظام تقييم الـ CVSS الذي يؤثر على EPM 2021 وEPM 2022 قبل .SU5

نبهت Ivanti "في حال تم استغلالها، يمكن للمهاجم الذي يمتلك وصولًا إلى الشبكة الداخلية الاستفادة من SQL injection غير محددة لتنفيذ استعلامات SQL واسترداد النتائج من دون الحاجة إلى مصادقة".

"يُمكن بعدها للمهاجم السيطرة على الأجهزة التي تعمل بوكيل EPM عندما يكون الخادم الأساسي مُكونًا لاستخدام SQL Express، يمكن أن يؤدي هذا إلى تنفيذ أوامر برمجية عن بُعد على الخادم الأساسي."

تم الكشف عن هذا بعد أسابيع من حل الشركة لما يقرب من اثنتين وعشرين ثغرة في جهاز إدارة الأجهزة المحمولة الأمنية (MDM) للشركات المعروف بـ Avalanche.

من بين الـ 21 ثغرة، تم تصنيف 13 منها على أنها حرجة (CVSS: 9.8) وقد وُصِفت كتجاوزات في ذاكرة التخزين المؤقت غير المصادق عليها. تمت معالجتها في Avalanche 6.4.2

  وفقًا لما ذكرته Ivanti "يمكن للمهاجم الذي يُرسل حزم بيانات مصممة بشكل خاص إلى خادم الأجهزة المحمولة أن يتسبب في تلف في الذاكرة مما يمكن أن يؤدي إلى حالة الخدمة المرفوضة (DoS) أو تنفيذ الشفرة".

بينما لا توجد أدلة على استغلال الثغرات المذكورة سابقًا في الحقيقية، إلا أن جهات داعمة للدولة قامت في الماضي باستغلال ثغرات zero-day
 CVE-2023-35078 وCVE-2023-35081 في Ivanti Endpoint Manager Mobile (EPMM) لاختراق شبكات عدة منظمات حكومية نرويجية.

في أغسطس 2023، تعرضت ثغرة أمنية حرجة أخرى في منتج Ivanti Sentry (CVE-2023-38035، درجة CVSS: 9.8) للاستغلال النشط كثغرة جديدة.
 

تم الكشف عن ثغرة أمنية خطيرة RCE في Juniper SRX Firewalls وEX Switches

13 يناير 2024



  

Juniper Networks قامت بإصدار تحديثات لإصلاح ثغرة حرجة في تنفيذ أوامر برمجية عن بُعد (RCE) في جدران الحماية من سلسلة SRX Firewalls ومفاتيح السلسلة EX Switches الخاصة بها.

الثغرة، المعروفة برقم CVE-2024-21591، حصلت على تصنيف 9.8 على نظام تقييم الثغرات CVSS 

ثغرة out-of-bounds write في J-Web لـ Junos OS SRX Series وEX Series من Juniper Networks  تسمح للمهاجم غير المصرح له عبر الشبكة بحدوث حالة رفض الخدمة (DoS) أو تنفيذ أوامر برمجية عن بُعد (RCE) والحصول على امتيازات root على الجهاز، كما ذكرت الشركة في توجيهها.

الشركة الكبيرة في مجال تجهيزات الشبكات، التي من المقرر أن يتم الاستحواذ عليها من قبل Hewlett Packard Enterprise (HPE) مقابل 14 مليار دولار، ذكرت أن المشكلة ناتجة عن استخدام وظيفة غير آمنة تسمح لمهاجم بكتابة بيانات في الذاكرة على نحو عشوائي.

الثغرة تؤثر على الإصدارات التالية، وقد تم إصلاحها في الإصدارات 
20.4R3-S9, 21.2R3-S7, 21.3R3-S5, 21.4R3-S5, 22.1R3-S4, 22.2R3-S3, 22.3R3-S2, 22.4R2-S2, 22.4R3, 23.2R1-S1, 23.2R2, 23.4R1 وما بعد- 

• Junos OS versions earlier than 20.4R3-S9

• Junos OS 21.2 versions earlier than 21.2R3-S7

• Junos OS 21.3 versions earlier than 21.3R3-S5

• Junos OS 21.4 versions earlier than 21.4R3-S5

• Junos OS 22.1 versions earlier than 22.1R3-S4

• Junos OS 22.2 versions earlier than 22.2R3-S3

• Junos OS 22.3 versions earlier than 22.3R3-S2, and

• Junos OS 22.4 versions earlier than 22.4R2-S2, 22.4R3

كحلول مؤقتة حتى يتم نشر الإصلاحات، توصي الشركة المستخدمين بتعطيل 
J-Web أو تقييد الوصول إلى المضيفين الموثوق بهم فقط.

تم أيضًا تصحيح الثغرة بواسطة Juniper Networks وهي ثغرة شديدة الخطورة في Junos OS وJunos OS Evolved CVE-2024-21611، درجة CVSS: 7.5 يمكن تسليحها بواسطة مهاجم غير مصادق عليه ومعتمد على الشبكة للتسبب في حالة حجب الخدمة.

على الرغم من عدم وجود دليل على استغلال الثغرات الأمنية على نطاق واسع، فقد تمت إساءة استخدام العديد من أوجه القصور الأمنية التي تؤثر على جدران الحماية SRX وسويتشات EX الخاصة بالشركة من قبل جهات التهديد في العام الماضي.
 

CISA تشير إلى 6 ثغرات أمنية - Apple وApache وAdobe وD-Link وJoomla 

10يناير 2024



  

أضافت وكالة الأمن السيبراني والبنية التحتية في الولايات المتحدة (CISA) ست ثغرات أمان إلى فهرسها للثغرات المستغلة المعروف (KEV) مشيرةً إلى وجود دلائل على استغلال نشط.

تشمل CVE-2023-27524 تصنيف CVSS: 8.9، وهي ثغرة ذات أهمية عالية تؤثر على برنامج تصوير البيانات المفتوح المصدر Apache Superset، والتي يمكن أن تتيح تنفيذ أوامر برمجية عن بُعد. تم إصلاحها في الإصدار 2.1.

جاءت تفاصيل المشكلة لأول مرة في أبريل 2023، حيث وصف Naveen Sunkavally من Horizon3.ai أنها "تكوين خطير افتراضي في Apache Superset يسمح للمهاجم غير المصرح له بالحصول على تنفيذ أوامر برمجية عن بُعد، وجمع بيانات الاعتماد، والتسلل إلى البيانات. من غير المعروف حاليًا كيف يتم استغلال الثغرة الأمنية بشكل عام. أضافت CISA أيضًا خمس ثغرات أخرى –

• CVE-2023-38203 (CVSS score: 9.8) - Adobe ColdFusion Deserialization of Untrusted Data Vulnerability

• CVE-2023-29300 (CVSS score: 9.8) - Adobe ColdFusion Deserialization of Untrusted Data Vulnerability

• CVE-2023-41990 (CVSS score: 7.8) - Apple Multiple Products Code Execution Vulnerability

• CVE-2016-20017 (CVSS score: 9.8) - D-Link DSL-2750B Devices Command Injection Vulnerability

• CVE-2023-23752 (CVSS score: 5.3) - Joomla! Improper Access Control Vulnerability

تجدر الإشارة إلى أن CVE-2023-41990، الذي تم تصحيحها بواسطة Apple في iOS 15.7.8 وiOS 16.3، تم استخدامه من قبل جهات غير معروفة كجزء من هجمات برامج التجسس Operation Triangulation لتحقيق تنفيذ التعليمات البرمجية عن بُعد عند معالجة مرفق iMessage PDF المصمم خصيصًا.

تمت التوصية على وكالات السلطة التنفيذية المدنية الفيدرالية (FCEB) بتطبيق إصلاحات الأخطاء المذكورة أعلاه بحلول 29 يناير 2024، لتأمين شبكاتها ضد التهديدات النشطة.
 

كبرى الهجمات السيبرانية في عام 2023
  

كان عام 2023 عامًا كبيرًا بالنسبة لمجال الأمن السيبراني، حدث شهد هجمات سيبرانية كبيرة، وانتهاكات للبيانات، وظهور مجموعات تهديد جديدة، وبالطبع، ثغرات أمان جديدة.

وكان بعضها أكثر تأثيرًا أو شهرة بين قرائنا "BleepingComputer" والبالغ عددهم 22 مليون قارئ. وفيما يلي أربع عشرة هجمة سيبرانية والتي يعتقد أنها أكثرها أهمية وتأثيرًا في الأمن السيبراني عام 2023، مع ملخص لكل واحدة.

• اختراق بيانات 23andMe
  تعرضت شركة الفحص الجيني 23andMe لهجمات تحميل الاعتمادات التي أدت إلى اختراق بيانات كبير؛ مما أدى إلى كشف بيانات 6.9 ملايين مستخدم.
  حاول المهاجمون بيع البيانات المسروقة، ولكن بعد عدم تلقيهم عروضًا، قاموا بتسريب البيانات لمليون يهودي أشكنازي و4,011,607 شخص يعيشون في بريطانيا على منتدى للقرصنة.
  وفي تحديث حديث، أخبرت الشركة أن الاختراق أثر على 6.9 ملايين شخص — 5.5 ملايين من خلال ميزة "الأقارب الجينيين DNA Relatives" و1.4 مليون من خلال ميزة "شجرة العائلة Family Tree".
  أدى هذا الاختراق إلى رفع عدة دعاوى قضائية جماعية ضد الشركة لعدم حماية البيانات بشكل كافٍ.

   

• فقدان جميع بيانات العملاء بعد هجوم الفدية ransomware
  تعرضت شركتان دانماركيتان مقدمتان لخدمات الاستضافة للإغلاق بعد أن قام هجوم برامج الفدية بتشفير معظم بيانات العملاء، ولم تنجح استعادة البيانات.
  كما جاء في بيان من " CloudNordic نظرًا لأننا لا نستطيع ولا نرغب في تلبية مطالب القراصنة الإجراميين المالية لفدية، فقد عمل فريق تقنية المعلومات بالتعاون مع خبراء خارجيين بشكل مكثف لتقييم الأضرار وتحديد ما يمكن استرداده".
  "للأسف، كان من المستحيل استرداد المزيد من البيانات، وبالتالي فإن معظم عملائنا فقدوا جميع بياناتهم لدينا."

   

• النشطاء السودانيون المجهولون يظهرون أن هجمات DDoS يمكن أن تؤثر على كبرى الشركات التكنولوجية
  أثارت مجموعة نشطاء معروفة باسم "المجهولين السودانيين" الدهشة عندما أسفرت هجماتهم بوسائل DDoS عن إسقاط مواقع الويب وخدمات بعض كبرى الشركات التكنولوجية في العالم.
  أثارت هجمات المجموعة انتباه وسائل الإعلام عندما نجحت في إسقاط صفحات تسجيل الدخول لخدمات Microsoft، بما في ذلك Outlook وOneDrive وبوابة Azure.
  "فتحت Microsoft فورًا تحقيقًا وبدأت في تتبع النشاط المستمر لهجمات DDoS التي تقوم بها الجهة التي تتبعها Microsoft باسم ". Storm-1359
  استهدفت المجموعة لاحقًا العديد من المواقع الأخرى، بما في ذلك مواقع ChatGPT وCloudflare وخدمات حكومية أمريكية.
  الهجمات المتزايدة بنمط DDoS وتأثيرها دفعت وكالة الأمن السيبراني والبنية التحتية للمعلومات في الولايات المتحدة (CISA) إلى إصدار توجيه حول هذه الحوادث.

   

• هجوم صوتي جديد يسرق البيانات من الضغطات على لوحة المفاتيح بدقة 95٪
  قام فريق من الباحثين من الجامعات البريطانية بتدريب نموذج تعلم عميق لسرقة البيانات من ضغطات لوحة المفاتيح المسجلة باستخدام ميكروفون بدقة 95٪.
  عند استخدام Zoom لتدريب خوارزمية تصنيف الصوت، انخفضت دقة التنبؤ إلى 93٪، وهو رقم لا يزال عاليًا للغاية.
  للتقليل من هذه الهجمات، يقترح الباحثون على المستخدمين محاولة تغيير أنماط الكتابة أو استخدام كلمات مرور عشوائية. وتتضمن التدابير الدفاعية الأخرى استخدام برمجيات لإعادة إنتاج أصوات الضغطات على لوحة المفاتيح، أو تشغيل الضجيج الأبيض، أو مرشحات صوتية للضغطات على لوحة المفاتيح على أساس البرمجيات.

   

• اختراق حسابات PayPal في هجوم واسع النطاق باستخدام تقنية حشو الاعتماد
  تعرضت خدمة PayPal لهجوم سرقة بيانات الاعتماد بين 6 ديسمبر و8 ديسمبر 2022، مما سمح للمهاجمين بالوصول إلى 34,942 حسابًا.
  سرقة بيانات الاعتماد هي نوع من الهجمات، حيث يحاول المهاجمون الوصول إلى حساب عن طريق تجربة أزواج اسم المستخدم وكلمة المرور المأخوذة من تسريبات البيانات على مواقع مختلفة.
  تمكن المهاجمون من الوصول إلى أسماء المستخدمين بالكامل وتواريخ الميلاد وعناوين البريد والأرقام الاجتماعية والأرقام الفردية للتعريف الضريبي.

   

• تعطل Dish Network بعد هجوم إلكتروني، وانقطاع الاتصال مع الموظفين
  تعطلت شبكة DISH Network الأمريكية العملاقة للتلفزيون وموفر البث الفضائي بشكل غامض، حيث لم تعمل مواقعها الإلكترونية وتطبيقاتها على الهواتف المحمولة لعدة أيام.
  أكدت DISH لاحقًا أن انقطاع الخدمة تسبب فيه هجوم إلكتروني ببرمجية الفدية، حيث كانت عصابة الفدية Black Basta وراء الهجوم.
  وفقًا لإشعار اختراق البيانات "نحن لا نعلم بأي سوء استخدام لمعلوماتك، وقد تلقينا تأكيدًا بأن البيانات المستخرجة قد تم حذفها".

   

• GoDaddy: المهاجمون سرقوا كود المصدر وزرعوا برمجيات خبيثة خلال اختراق استمر لسنوات عديدة
  أفادت شركة استضافة الويب العملاقة GoDaddy عن تعرضها لاختراق استمر لسنوات مما أتاح للمهاجمين المجهولين سرقة كود المصدر وتثبيت برمجيات خبيثة على خوادمها.
  بدأ هذا الاختراق في عام 2021 وسمح للمهاجمين بالوصول إلى معلومات الأشخاص الشخصية لـ 1.2 مليون عميل يستخدمون خدمة Managed WordPress، بما في ذلك بيانات الاعتماد، واستخدموا الوصول لتوجيه المواقع إلى نطاقات أخرى. لم تتبنى أي كيانات هجوم المسؤولية عن هذا الهجوم.

   

• هجوم سيبراني على MGM Resorts أدى إلي توقف أنظمة تكنولوجيا المعلومات 
  تعرضت شركة MGM Resorts International لهجوم ضخم أثر على العديد من الأنظمة، بما في ذلك موقعها الرئيس، وخدمات الحجوزات عبر الإنترنت، وخدمات الكازينو، مثل أجهزة الصراف الآلي، وماكينات القمار، وأجهزة بطاقات الائتمان.
  أعلنت عملية الفدية BlackCat المسؤولية عن الهجوم، حيث ادعت أنهم قاموا بتشفير أكثر من 100 منصة تشغيل Hypervisor من ESXi خلال الحادث.
  أفاد تقرير Bloomberg بأن نفس المجموعة قامت أيضًا بخرق شبكة Caesars Entertainment، مما يشير بقوة إلى أنهم دفعوا للمهاجمين لتجنب تسريب بيانات العملاء المسروقة.
  على الرغم من أن الهجوم كان بارزًا، فإنه جذب أيضًا انتباهًا واسعًا إلى مجموعة من هاكرز فردين تعرف باسم Scattered Spider.
  تعتبر Scattered Spider، المعروفة أيضًا باسم 0ktapus وStarfraud وUNC3944 وMuddled Libra، ماهرة في الهندسة الاجتماعية وتعتمد على التصيد الاحتيالي وتجاهل المصادقة متعدد العوامل (MFA) (استهداف إرهاق MFA المستهدف) وتبديل SIM للحصول على وصول الأولى إلى الشبكة في المؤسسات الكبيرة.
  في نوفمبر 2022، أصدر مكتب التحقيقات الفيدرالي (FBI) تحذيرًا يسلط الضوء على مجموعة من تكتيكات وتقنيات وإجراءات (tactics, techniques, and procedures – TTPs).
  تقف Scattered Spider وراء هجمات سابقة على Reddit وMailChimp وTwilio وDoorDash وRiot Games.

   

• اخترق مهاجمون تطبيق 3CX في هجوم على سلسلة التوريد
  تم اختراق 3CX من قبل مجموعة القراصنة Lazarus الكورية الشمالية لدفع البرمجيات الخبيثة من خلال هجوم على سلسلة التوريد باستخدام عميل سطح المكتب الخاص ببروتوكول الصوت عبر الإنترنت (VOIP) الخاص بالشركة.
  3CX هي شركة تطوير برمجيات نظام PBX للهواتف عبر الإنترنت، ويستخدم نظام 3CX Phone System الخاص بها من قبل أكثر من 350,000 شركة حول العالم ويحظى بأكثر من 12 مليون مستخدم يوميًا.
  تم اختراق 3CX بعد أن قام أحد الموظفين بتثبيت إصدار مزروع من برنامج X_TRADER الخاص بـ Trading Technologies، مما سمح للمهاجمين بسرقة بيانات اعتماد الشركات واختراق الشبكة.
  قام القراصنة بإصدار تحديث برمجي ضار أدى إلى تثبيت برامج ضارة مجهولة مسبقًا لسرقة البيانات واعتمادات التخزين في ملفات تعريف المستخدم في متصفحات Chrome وEdge وBrave وFirefox.

   

• Barracuda أعلنت أن أجهزة ESG المخترقة يجب استبدالها فورًا
  في مايو 2023، كشفت Barracuda أن بعض أجهزة بوابة الأمان للبريد الإلكتروني (Email Security Gateway - ESG) الخاصة بها تم اختراقها باستخدام ثغرة أمان لتثبيت برامج ضارة وسرقة البيانات.
  الهجمات كانت مرتبطة بجهات هجوم صينية، استخدموا الثغرة منذ عام 2022 لإصابة أجهزة ESG ببرمجيات ضارة جديدة تسمى 'Saltwater' و'Seaspy' و'Seaside'.
  كشفت CISA لاحقًا أن البرمجيات الضارة Submarine وWhirlpool تم استخدامها أيضًا في الهجمات لإنشاء باب خلفي لأجهزة ESG.
  ما يميز هذه الهجمات هو أن Barracuda حذرت العملاء بدلاً من استخدام إصلاح برمجي لأجهزة ESG المتأثرة، بأنه يجب على العملاء استبدال أجهزة بوابة الأمان للبريد الإلكتروني (ESG) الخاصة بهم، وتم ذلك مجانًا.
  حذرت الشركة في ذلك الوقت "يجب استبدال أجهزة ESG المتأثرة فورًا بغض النظر عن مستوى الإصلاح".
  أخبرت Mandiant، التي شاركت في استجابة الطوارئ في هذه الهجمات، أن هذا كان موصى به احتياطيًا، حيث لا يمكن لـ Barracuda ضمان الإزالة الكاملة للبرمجيات الضارة.

   

• هجوم ضخم ببرمجية الفدية ESXiArgs يستهدف خوادم VMware ESXi على نطاق واسع
  في فبراير 2023، استهدفت حملة ضخمة لبرمجية الفدية خوادم VMware ESXi المكشوفة على نطاق واسع، حيث قامت بتشفير الآلاف من الآلات الظاهرية للشركات.
  بعد بضع ساعات بعد الهجوم، بدأ الضحايا في الإبلاغ أن الملفات ذات التنسيقات vmxf و. vmx و. vmdk و. vmsd و. nvram، أي الملفات المرتبطة بآلات VMware ESXi الظاهرية، قد تم تشفيرها.
  تم تعديل الصفحة الرئيسة لواجهة VMware ESXi لعرض رسالة فدية تطلب 2.0871 بيتكوين، بقيمة تقدر بحوالي 49,000 دولار في ذلك الوقت.

• البرازيل تصادر شحنات Flipper Zero لمنع استخدامها في الجريمة
  وكالة الاتصالات الوطنية البرازيلية صادرت مشتريات Flipper Zero الواردة بسبب إمكانية استخدامها في الأنشطة الإجرامية.
  أفاد البرازيليون الذين اشتروا Flipper Zero بأن شحناتهم تمت إعادة توجيهها إلى وكالة الاتصالات البرازيلية Anatel؛ بسبب عدم حصولها على شهادة من قسم الترددات الراديوية في البلاد.
  حيث قامت Anatel بوضع علامة على الجهاز بأنه أداة تُستخدم لأغراض إجرامية.

   

• هجمات iPhone في عملية التثليث
  في يونيو 2023، كشف باحثون من Kaspersky للمرة الأولى عن هجوم جديد على نظام iOS يسمى "عملية التثليث" تُستخدم لتثبيت برنامج التجسس TriangleDB على iPhones.
  اكتشفت Kaspersky الهجوم على الأجهزة داخل شبكتها الخاصة، واتهمت جهاز الاستخبارات الروسي FSB شركة Apple بتوفير باب خلفي لوكالة الأمن القومي الأمريكية NSA. ومع ذلك، فإن أصل الهجوم الحقيقي لا يزال غير معروف، ولا يوجد دليل على أن الحكومة الأمريكية هي وراء الهجمات.
  تبدأ الهجمات بإرسال القراصنة مرفقًا ضارًا عبر iMessage يقوم تلقائيًا بتشغيل سلسلة الهجمات الاستغلالية بدون أي تفاعل من المستخدم. يعني استغلال zero-click أنه لا يتطلب تفاعلًا من المستخدم ليتم تشغيله.
  ربطت الهجمات معًا أربع ثغرات zero-day في iOS المدرجة أدناه لتثبيت برنامج التجسس:

• CVE-2023-41990: ثغرة في تعليمة ADJUST TrueType font تسمح بتنفيذ رمز من خلال مرفق iMessage ضار.

• CVE-2023-32434: مشكلة في تجاوز الفاصل العددي في استدعاءات تخطيط الذاكرة فيXNU، مما يمنح القراصنة إمكانية قراءة وكتابة واسعة في الذاكرة الفعلية للجهاز.

• CVE-2023-32435: يُستخدم في استغلال Safari لتنفيذ رمز برمجي كجزء من الهجوم المتعدد المراحل.

• CVE-2023-38606: ثغرة تستخدم مسجلات MMIO الخاصة بالأجهزة لتجاوز طبقة حماية الصفحة (Page Protection Layer - PPL)، مما يسمح بتجاوز حماية الأمان القائمة على الأجهزة.
  rأخيرا كشفت Kaspersky أن الثغرة zero-day النهائية، CVE-2023-38606، استغلت ميزة غير موثقة في رقاقات Apple لتجاوز حماية الأمان القائمة على الأجهزة.
  على الرغم من أن هجمات عملية التثليث لم تؤثر على العديد من الأجهزة، فإنها قد تكون واحدة من أكثر هجمات iOS تعقيدًا حتى الآن.

• هجمات سرقة بيانات MOVEit Transfer
  MOVEit Transfer هو حل لنقل الملفات المُدارة (managed file transfer – MFT) تم تطويره من قبل Ipswitch، وهي فرع تابع لشركة Progress Software Corporation الأمريكية، ويتيح للمؤسسات نقل الملفات بشكل آمن بين شركاء الأعمال والعملاء باستخدام SFTP وSCP وتحميلاتHTTP.
  على الرغم من أنه تم إصلاح الثغرة في مايو 2023، فإن الهجمات قد استفادت منها بالفعل كثغرة أمان Zero-day لاختراق خوادم MOVEit Transfer وتنزيل البيانات المخزنة.
  وسرعان ما أعلنت عصابة Clop Ransomware مسؤوليتها عن الهجمات، والتي شنت سابقًا هجمات مماثلة من خلال ثغرات zero-day في Accellion FTA وGoAnywhere.
  وفقًا لتقرير Emsisoft، تم اختراق 2,706 مؤسسة باستخدام هذه الثغرة، وكشف البيانات الشخصية لأكثر من 93 مليون شخص.