MOVEit में अधिक कमजोरियाँ

13. जुलाई 2023
| कोई टिप्पणी नहीं
बी2बी साइबर सुरक्षा लघु समाचार

शेयर पोस्ट

खतरा स्पष्ट रूप से आगे बढ़ गया है: अनधिकृत SQL इंजेक्शन के लिए एक और भेद्यता की खोज। साइबर हमलों को रोकने के लिए MOVEit को फिर से पैच करने की आवश्यकता है।

हर दिन कमजोरियों की खोज की जाती है, और हमलावर यह देखने के लिए जाँच करते रहते हैं कि क्या वे एक नई भेद्यता से पैसा कमा सकते हैं। जब एक नई भेद्यता की पुष्टि की जाती है, तो हमें रक्षकों के रूप में दो चीजों पर विचार करने की आवश्यकता होती है: हमलावरों के लिए भेद्यता का फायदा उठाना कितना मुश्किल होगा, और कितनी संभावना है कि इसका फायदा उठाया जाएगा। उत्तरार्द्ध आमतौर पर प्रभावित सॉफ़्टवेयर के प्रसार पर निर्भर करता है: यह जितना अधिक व्यापक होगा, इसका शोषण किए जाने की संभावना उतनी ही अधिक होगी।

प्रोग्रेस सॉफ्टवेयर द्वारा उजागर की गई यह नवीनतम भेद्यता [सीवीई-2023-36934] एकदम सही तूफान है। कम तकनीकी जानकारी वाले हमलावरों द्वारा एक अप्रमाणित SQL इंजेक्शन बग का आसानी से फायदा उठाया जाता है और उन्हें कई अवसर प्रदान किए जाते हैं। इनमें वेबपेज पर एक फ़ील्ड जोड़ने से लेकर 'फॉर्म' भरने वाले अनजान उपयोगकर्ताओं से जानकारी चुराने से लेकर किसी भी बैकएंड डेटाबेस में सभी जानकारी प्रकट करने के लिए 'एसक्यूएल क्वेरी' के साथ एप्लिकेशन को धोखा देने तक शामिल हैं। इस मामले में, दुर्भावनापूर्ण लोगों के लिए दरवाजा पूरी तरह से खुला है और वे बेरोकटोक प्रवेश कर सकते हैं।

ए क्वेश्चन ऑफ टाइम

अपराधियों ने पहले ही MOVEit पर हमला किया है या बड़ी सफलता के साथ कमजोरियों का फायदा उठाया है। हालाँकि हमारे पास अभी तक कोई सबूत नहीं है कि इस नई MOVEit भेद्यता पर भी हमला किया गया है, सब कुछ इंगित करता है कि यह केवल समय की बात है। हमले की प्रतीक्षा करने और फिर प्रतिक्रिया देने के बजाय, सुरक्षा टीमों के लिए साइबर सुरक्षा के लिए पूर्व-खाली दृष्टिकोण अपनाना महत्वपूर्ण है। हमले की सतह को समझने और संगठन के लिए सक्रिय रूप से जोखिम का प्रबंधन करने की आवश्यकता कभी इतनी जरूरी नहीं रही। (बर्नार्ड मोंटेल, टेनेबल के तकनीकी निदेशक)

Tenable.com पर अधिक

 

टेनेबल के बारे में

टेनेबल साइबर एक्सपोजर कंपनी है। दुनिया भर में 24.000 से अधिक कंपनियां साइबर जोखिम को समझने और कम करने में सक्षम हैं। Nessus के आविष्कारकों ने Tenable.io में अपनी भेद्यता विशेषज्ञता को संयोजित किया है, जो उद्योग का पहला प्लेटफ़ॉर्म प्रदान करता है जो किसी भी कंप्यूटिंग प्लेटफ़ॉर्म पर किसी भी संपत्ति को रीयल-टाइम दृश्यता प्रदान करता है और सुरक्षित करता है। टेनेबल के ग्राहक आधार में फॉर्च्यून 53 का 500 प्रतिशत, ग्लोबल 29 का 2000 प्रतिशत और बड़ी सरकारी एजेंसियां ​​शामिल हैं।

 

विषय से संबंधित लेख

रिपोर्ट: दुनिया भर में 40 प्रतिशत अधिक फ़िशिंग

2023 के लिए कास्परस्की की वर्तमान स्पैम और फ़िशिंग रिपोर्ट स्वयं कहती है: जर्मनी में उपयोगकर्ता इसके पीछे हैं ➡ और अधिक पढ़ें

बीएसआई वेब ब्राउज़र के लिए न्यूनतम मानक निर्धारित करता है

बीएसआई ने प्रशासन के लिए वेब ब्राउज़र के लिए न्यूनतम मानक को संशोधित किया है और संस्करण 3.0 प्रकाशित किया है। आप उसे याद रख सकते हैं ➡ और अधिक पढ़ें

स्टील्थ मैलवेयर यूरोपीय कंपनियों को निशाना बनाता है

हैकर्स यूरोप भर में कई कंपनियों पर गुप्त मैलवेयर से हमला कर रहे हैं। ईएसईटी शोधकर्ताओं ने तथाकथित ऐसक्रिप्टर हमलों में नाटकीय वृद्धि की सूचना दी है ➡ और अधिक पढ़ें

आईटी सुरक्षा: लॉकबिट 4.0 के लिए आधार निष्क्रिय

यूके की राष्ट्रीय अपराध एजेंसी (एनसीए) के साथ काम करते हुए ट्रेंड माइक्रो ने उस अप्रकाशित संस्करण का विश्लेषण किया जो विकास में था ➡ और अधिक पढ़ें

गूगल वर्कस्पेस के माध्यम से एमडीआर और एक्सडीआर

चाहे कैफे हो, हवाईअड्डा टर्मिनल हो या गृह कार्यालय - कर्मचारी कई जगहों पर काम करते हैं। हालाँकि, यह विकास चुनौतियाँ भी लाता है ➡ और अधिक पढ़ें

परीक्षण: एंडपॉइंट और व्यक्तिगत पीसी के लिए सुरक्षा सॉफ्टवेयर

एवी-टेस्ट प्रयोगशाला के नवीनतम परीक्षण परिणाम विंडोज़ के लिए 16 स्थापित सुरक्षा समाधानों का बहुत अच्छा प्रदर्शन दिखाते हैं ➡ और अधिक पढ़ें

एफबीआई: इंटरनेट अपराध रिपोर्ट में 12,5 अरब डॉलर की क्षति का अनुमान लगाया गया है 

एफबीआई के इंटरनेट अपराध शिकायत केंद्र (IC3) ने अपनी 2023 इंटरनेट अपराध रिपोर्ट जारी की है, जिसमें 880.000 से अधिक की जानकारी शामिल है ➡ और अधिक पढ़ें

हेडक्रैब 2.0 की खोज की गई

रेडिस सर्वर के खिलाफ हेडक्रैब अभियान, जो 2021 से सक्रिय है, नए संस्करण के साथ लक्ष्यों को सफलतापूर्वक संक्रमित करना जारी रखता है। अपराधियों का मिनी ब्लॉग ➡ और अधिक पढ़ें

लघु समाचार
, , , ,