The Better Outcomes Registry & Network (BORN) องค์กรด้านการดูแลสุขภาพที่ได้รับทุนจากรัฐ Ontario ประเทศแคนาดา เป็นองค์กรที่รวบรวม ตีความ แบ่งปัน ปกป้องข้อมูลที่สำคัญเกี่ยวกับการตั้งครรภ์ การเกิดของเด็ก รวมถึงดูแลสุขภาพของผู้ตั้งครรภ์

ได้ประกาศว่าตนเป็นหนึ่งในผู้เสียหายจากการโดนโจมตีด้วยช่องโหว่ Zero-day MOVEit Transfer (CVE-2023-34362) จากกลุ่ม Clop ransomware ซึ่งเป็นช่องโหว่ SQL injection ที่สามารถยกระดับสิทธิ์ และทำให้สามารถเข้าถึงฐานข้อมูลโดยไม่ได้รับอนุญาตได้

BORN ทราบว่าโดนเข้าถึงข้อมูลเมื่อวันที่ 31 พฤษภาคม และได้โพสต์ประกาศสาธารณะบนเว็บไซต์ พร้อมทั้งแจ้งให้หน่วยงานที่เกี่ยวข้องทราบ (Privacy Commissioner of Ontario) และได้ร่วมกับผู้เชี่ยวชาญด้านความปลอดภัยเพื่อแยกเซิร์ฟเวอร์ที่ได้รับผลกระทบ และควบคุมความเสียหาย ทำให้องค์กรยังดำเนินงานต่อไปได้

จากการตรวจสอบพบว่าผู้โจมตีได้คัดลอกไฟล์ข้อมูลของคนประมาณ 3.4 ล้านคน ส่วนใหญ่เป็นทารกแรกเกิดและผู้ป่วยที่ได้รับการดูแลระหว่างตั้งครรภ์ ระหว่างเดือนมกราคม 2010 ถึงพฤษภาคม 2023

ข้อมูลที่ถูกคัดลอกออกไป ประกอบด้วย

ชื่อเต็ม
ที่อยู่
รหัสไปรษณีย์
วันเกิด
หมายเลขบัตรสุขภาพ
และอาจมีข้อมูลอื่นๆเพิ่มเติม ขึ้นอยู่กับบริการที่ได้รับจาก BORN

วันที่เข้ารับบริการ/ดูแล
ผลการทดสอบใน Lab
ปัจจัยเสี่ยงในการตั้งครรภ์
ประเภทการเกิด
ขั้นตอน
ผลการตั้งครรภ์และการคลอดบุตร
BORN กล่าวว่า แม้จะยืนยันการโจมตีแล้ว แต่ยังไม่มีหลักฐานว่าข้อมูลที่ถูกขโมยได้ถูกเผยแพร่บน Dark Web ถูกเสนอขาย หรือถูกใช้ในทางที่ผิด และจะยังตรวจสอบต่อไปสำหรับกิจกรรมใดๆ ที่อาจเกี่ยวข้องกับเหตุการณ์นี้ และไม่แนะนำให้บุคคลที่อาจได้รับผลกระทบดำเนินการใดๆในเวลานี้ นอกจากระวังการติดต่อเข้ามาที่น่าสงสัย โดยเฉพาะการขอข้อมูลส่วนตัว

ที่มา : bleepingcomputer

ช่องโหว่ในแอปพลิเคชันการถ่ายโอนไฟล์ที่จัดการโดย Progress Software ที่ชื่อ MOVEit Transfer ถูกนำไปใช้ประโยชน์อย่างแพร่หลายเพื่อโจมตีระบบที่มีช่องโหว่

โดยช่องโหว่มีหมายเลข CVE-2023-34362 ซึ่งเป็นช่องโหว่ SQL injection ที่สามารถยกระดับสิทธิ์ และเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตได้

บริษัทระบุว่า "พบช่องโหว่ SQL injection ในเว็บแอปพลิเคชัน MOVEit Transfer ที่อาจทำให้ผู้โจมตีสามารถเข้าถึงฐานข้อมูลของ MOVEit Transfer ได้"

ขึ้นอยู่กับเครื่องมือฐานข้อมูลที่ใช้ (MySQL, Microsoft SQL Server หรือ Azure SQL) ผู้โจมตีอาจสามารถสืบค้นข้อมูลเกี่ยวกับโครงสร้าง และเนื้อหาของฐานข้อมูลได้นอกเหนือจากการรัน SQL statements ที่แก้ไข หรือลบ elements ของฐานข้อมูล

โดยบริษัทได้ออกแพตช์อัปเดตสำหรับช่องโหว่นี้ในเวอร์ชัน 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5) และ 2023.0.1 (15.0.1)

ช่องโหว่นี้ถูกรายงานครั้งแรกโดย Bleeping Computer ในวันที่ 31 พฤษภาคม 2023 จากการที่ Huntress และ Rapid7 ได้ระบุว่ามีอินสแตนซ์ของ MOVEit Transfer ประมาณ 2,500 ระบบที่สามารถเข้าถึงได้จากอินเทอร์เน็ต โดยอินสแตนซ์ส่วนใหญ่ตั้งอยู่ในประเทศสหรัฐอเมริกา

การโจมตีที่ประสบความสำเร็จ ทำให้สามารถติดตั้งเว็บเชลล์ (web shell) ซึ่งอาจเป็นไฟล์ชื่อ "human2.aspx" ที่สร้างขึ้นผ่านสคริปต์ ในไดเรกทอรี "wwwroot" หรือด้วยชื่อไฟล์อื่น ๆ โดยเว็บเชลล์นี้ถูกใช้เพื่อขโมยข้อมูลต่าง ๆ ที่อยู่บนบริการของ MOVEit ออกไป

การวิเคราะห์เชื่อมโยงกับการโจมตีพบว่าเว็บเชลล์ถูกออกแบบให้สามารถเพิ่มเซสชันบัญชีผู้ใช้แอดมินใหม่ชื่อ "Health Check Service" เพื่อหลีกเลี่ยงการตรวจจับที่อาจเกิดขึ้น

บริษัทด้านความปลอดภัย และความเสี่ยงทางเทคโนโลยีชื่อ 'GreyNoise' ระบุว่า "ได้สังเกตพบการพยายามสแกนหน้าเข้าสู่ระบบของ MOVEit Transfer ที่ path /human.