Уязвимость нулевого дня MOVEit Transfer эксплуатируется в дикой природе, в основном нацеленной на Северную Америку
7 июня 2023 г.Агентство кибербезопасности и безопасности инфраструктуры опубликовало предупреждение об использовании уязвимости нулевого дня в программном обеспечении MOVEit. Было замечено использование этой уязвимости нулевого дня SQL-инъекций в дикой природе, в основном нацеленной на Северную Америку и включая атаки со стороны исполнителя угрозы вымогателей Lace Tempest.
MOVEit — это управляемое программное обеспечение для передачи файлов от Progress (ранее Ipswitch), поставщика технологий разработки приложений и цифровых технологий. Согласно сайту MOVEit, приложение используется тысячами организаций по всему миру.
Перейти к:
- Что такое уязвимость нулевого дня MOVEit Transfer?
Эксплуатация в дикой природе, особенно в Северной Америке
Как обнаружить использование угроз
Как уменьшить этот риск
Дополнительные рекомендации по безопасности
Что такое уязвимость нулевого дня MOVEit Transfer?
Эта уязвимость нулевого дня MOVEit Transfer, как она была известна злоумышленникам до исправления, представляет собой уязвимость внедрения SQL, CVE-2023-34362. Это влияет на все версии MOVEit Transfer, согласно компании-разработчику Progress; это не влияет на MOVEit Automation, MOVEit Client, MOVEit Add-in для Microsoft Outlook, MOVEit Mobile, WS_FTP Client, WS_FTP Server, MOVEit EZ, MOVEit Gateway, MOVEit Analytics и MOVEit Freely.
Эта уязвимость нулевого дня позволяет злоумышленнику, не прошедшему проверку подлинности, получить доступ к базе данных MOVEit Transfer, что, возможно, позволяет злоумышленнику выполнять операторы SQL, изменяющие или удаляющие элементы базы данных.
ПОСМОТРЕТЬ: Атаки с внедрением SQL: что нужно знать ИТ-специалистам (TechRepublic Premium)
Эксплуатация в дикой природе, особенно в Северной Америке
Сообщение в блоге Rapid7 указывает, что эта компания, занимающаяся кибербезопасностью, наблюдала использование уязвимости нулевого дня CVE-2023-34362 в реальных условиях в нескольких клиентских средах. По данным Rapid7, пострадал широкий круг организаций.
Активная эксплуатация уязвимости киберпреступниками началась как минимум за четыре дня до выхода бюллетеня по безопасности от Progress.
ПОСМОТРЕТЬ: Эксплойты нулевого дня: что нужно знать ИТ-специалистам (TechRepublic)
По данным поисковой системы Shodan, более 2500 экземпляров MOVEit Transfer доступны в Интернете, причем более 1800 из них находятся в США.
Рисунок А
Rapid7 обнаружил одно и то же имя веб-шелла в нескольких клиентских средах. В скомпрометированных системах веб-оболочка с именем human2.aspx находится в папке wwwroot папки установки MOVEit. Имя файла, вероятно, было выбрано, чтобы остаться незамеченным, поскольку законный файл с именем human.aspx является собственным файлом, используемым MOVEit Transfer для своего веб-интерфейса.
Доступ к веб-шеллу защищен паролем. Попытки подключиться к веб-оболочке без правильного пароля приводят к тому, что вредоносный код выдает ошибку 404 Not Found.
Согласно Rapid7, использование одного и того же имени на нескольких серверах может указывать на автоматическую эксплуатацию. Кажется, что таргетинг является скорее оппортунистическим, чем целенаправленным. Первоначальная компрометация может привести к использованию программ-вымогателей, поскольку решения для передачи файлов были популярными целями для злоумышленников, в том числе для участников программ-вымогателей.
Microsoft подтвердила использование этой уязвимости через Twitter, приписав атаки с использованием уязвимости нулевого дня CVE-2023-34362 MOVEit Transfer Lace Tempest, злоумышленнику, известному операциями с программами-вымогателями и запуском сайта-вымогателя Clop. Этот злоумышленник воспользовался уязвимостью в другом программном обеспечении File Transfer Manager, GoAnywhere, в начале этого года.
Как обнаружить использование угроз
Системные администраторы должны проверить наличие файла human2.aspx в папке wwwroot своего программного обеспечения MOVEit Transfer.
Файлы журналов также должны быть проверены как минимум за месяц до этого. Неожиданные загрузки/выгрузки файлов с неизвестных IP-адресов следует тщательно проверять.
Файлы журнала веб-сервера следует проверять на наличие любых событий, которые могут включать запрос GET к файлу human2.aspx, а также большое количество записей журнала или записей с большими размерами данных, которые могут указывать на непредвиденные загрузки файлов.
Если применимо, следует проверить файлы журналов Azure на наличие несанкционированного доступа к ключам хранилища BLOB-объектов Azure.
Согласно Rapid7, также можно выявить утечку данных. Если администраторы программного обеспечения MOVEit Transfer включили ведение журнала, файл событий Windows C:\Windows\System32\winevt\Logs\MOVEit.evtx предоставляет много информации, включая имя файла, путь к файлу, размер файла, IP-адрес и имя пользователя, выполняющее загрузку. Хотя ведение журнала не включено по умолчанию, администраторы обычно включают его после установки. Эксфильтрацию данных можно увидеть в этом файле журнала событий.
Журналы аудита хранятся в базе данных MOVEit, и их можно запрашивать напрямую или с помощью встроенной функции отчетности программного обеспечения. Администраторы могут использовать эти журналы для создания отчета о действиях по загрузке файлов, выполняемых с помощью программного обеспечения, что позволяет им увидеть потенциальную утечку данных.
Как уменьшить этот риск
Поставщик Progress настоятельно рекомендует немедленно применить выпущенный патч.
Если это не применимо немедленно, организациям следует отключить весь трафик HTTP и HTTPS к среде MOVEit Transfer, чтобы злоумышленники не подключались к ней. Хотя законные пользователи больше не смогут к нему подключаться, протоколы SFTP и FTP будут продолжать работать в обычном режиме, а администраторы по-прежнему смогут подключаться к нему по протоколу удаленного рабочего стола.
Если обнаружен файл human2.aspx или какой-либо подозрительный скрипт .cmdline, его следует удалить. Любой вновь созданный или неизвестный файл в папке MOVEit следует тщательно проанализировать; кроме того, следует проверить файлы .cmdline в любой временной папке Windows.
Любая неавторизованная учетная запись пользователя должна быть удалена.
После исправления или блокировки HTTP и HTTPS администраторы должны выполнить обнаружение, как упоминалось ранее, и тщательно искать признаки компрометации. Если доказательство найдено, учетные данные учетной записи службы должны быть сброшены.
Непрерывный мониторинг должен применяться для любого из индикаторов компрометации, предоставляемых Progress.
Дополнительные рекомендации по безопасности
Хотя это и не связано с уязвимостью CVE-2023-34362, Progress указывает, что администраторы должны разрешать многофакторную аутентификацию в MOVEit Transfer. Кроме того, следует обновить политики удаленного доступа, чтобы разрешить доступ только к известным и доверенным IP-адресам. Наконец, учетные записи пользователей должны быть тщательно проверены, чтобы разрешить доступ к службе только авторизованным учетным записям.
Раскрытие информации: я работаю в Trend Micro, но мнения, выраженные в этой статье, принадлежат мне.
Оригинал