पिछले हफ्ते, प्रगति सॉफ्टवेयर ने अपने मूविट ट्रांसफर उत्पाद और संबंधित मूव क्लाउड समाधानों में एक महत्वपूर्ण सुरक्षा भेद्यता (सीवीई-2023-34362) की सूचना दी। APT समूह CLOP, जिसने 14.06 जून तक एक अल्टीमेटम भी जारी किया, ने दुनिया भर में अक्सर उपयोग किए जाने वाले सॉफ़्टवेयर पर बड़े पैमाने पर हमले और डेटा चोरी को अंजाम दिया।
जैसा कि नाम से पता चलता है, मूविट ट्रांसफर एक ऐसी प्रणाली है जो एक टीम, विभाग, कंपनी या यहां तक कि एक आपूर्ति श्रृंखला में आसान भंडारण और फाइलों को साझा करने की अनुमति देती है। सॉफ्टवेयर का उपयोग एओके द्वारा भी किया जाता है, उदाहरण के लिए. वर्तमान मामले में, यह पता चला है कि MOVEit का वेब-आधारित फ्रंट एंड, जो फ़ाइलों को वेब ब्राउज़र के माध्यम से साझा और प्रबंधित करने की अनुमति देता है, में SQL इंजेक्शन भेद्यता है। इस प्रकार की फ़ाइल साझाकरण बहुत लोकप्रिय है क्योंकि इस प्रक्रिया को आमतौर पर ईमेल साझा करने की तुलना में गलत निर्देशित या "खोई हुई" फ़ाइलों के लिए कम प्रवण माना जाता है।
अच्छा समाचार और बुरा समाचार
इस मामले में अच्छी खबर यह है कि जैसे ही कंपनी को भेद्यता के बारे में पता चला प्रगति ने सभी समर्थित MOVEit संस्करणों के साथ-साथ इसकी क्लाउड-आधारित सेवा को भी पैच कर दिया। क्लाउड संस्करण का उपयोग करने वाले ग्राहक स्वचालित रूप से अद्यतित होते हैं। अपने स्वयं के नेटवर्क पर चलने वाले संस्करणों को सक्रिय रूप से पैच किया जाना चाहिए। MOVEit ग्राहकों को पैच स्थापित करने के अलावा एक समझौता स्कैन चलाने की आवश्यकता होती है। अकेले पैचिंग करना काफी नहीं है।
बुरी खबर यह है कि यह भेद्यता शून्य-दिन की भेद्यता थी, जिसका अर्थ है कि प्रगति को इसके बारे में पता चला क्योंकि साइबर अपराधियों ने पहले ही इसका फायदा उठाया था। दूसरे शब्दों में, पैच जारी होने से पहले, MOVEit SQL बैकएंड डेटाबेस में पहले से ही कई संभावित परिणामों के साथ धोखाधड़ी वाले आदेश दिए जा सकते हैं:
- मौजूदा डेटा को हटाना: SQL इंजेक्शन हमले का क्लासिक परिणाम बड़े पैमाने पर डेटा विनाश है।
- मौजूदा डेटा का एक्सफिल्ट्रेशन: SQL तालिकाओं को हटाने के बजाय, हमलावर अपने स्वयं के प्रश्नों को इंजेक्ट कर सकते हैं और इस प्रकार न केवल आंतरिक डेटाबेस की संरचना सीख सकते हैं, बल्कि महत्वपूर्ण भागों को निकाल और चुरा भी सकते हैं।
- मौजूदा डेटा में परिवर्तन: हमलावर डेटा को चुराने के बजाय उसे दूषित या नष्ट करना चुन सकते हैं।
- मालवेयर सहित नई फाइलों का इम्प्लांटेशन: हमलावर SQL कमांड को इंजेक्ट कर सकते हैं, जो बदले में बाहरी सिस्टम कमांड लॉन्च करते हैं, जिससे नेटवर्क के भीतर मनमाने ढंग से रिमोट कोड निष्पादन की अनुमति मिलती है।
हमलावरों का एक समूह जिसे Microsoft कुख्यात CLOP रैंसमवेयर गिरोह मानता है (या उससे जुड़ा हुआ है) ने स्पष्ट रूप से प्रभावित सर्वरों पर तथाकथित वेबशेल्स को इंजेक्ट करने के लिए इस भेद्यता का शोषण किया है।
ज्यादा सुरक्षा के लिए क्या करें?
- यदि आप एक MOVEit उपयोगकर्ता हैं, तो सुनिश्चित करें कि आपके नेटवर्क पर सॉफ़्टवेयर के सभी उदाहरण पैच किए गए हैं।
- यदि आप इस समय पैच करने में असमर्थ हैं, तो जब तक आप कर सकते हैं तब तक वेब-आधारित (HTTP और HTTPS) इंटरफेस को अपने MOVEit सर्वर पर बंद कर दें। जाहिरा तौर पर, यह भेद्यता केवल MOVEit के वेब इंटरफेस के माध्यम से प्रकट होती है, SFTP जैसे अन्य एक्सेस पथों के माध्यम से नहीं।
- नई जोड़ी गई वेब सर्वर फ़ाइलों, नए बनाए गए उपयोगकर्ता खातों और अनपेक्षित रूप से बड़े डेटा डाउनलोड के लिए अपने लॉग की जाँच करें। प्रगति में खोजे जाने वाले स्थानों की एक सूची होती है, साथ ही फाइलनामों और खोजे जाने वाले स्थानों की भी।
- यदि आप एक प्रोग्रामर हैं, तो अपने इनपुट्स को साफ करें।
- यदि आप एक एसक्यूएल प्रोग्रामर हैं, तो क्वेरी कमांड उत्पन्न करने के बजाय पैरामिट्रीकृत प्रश्नों का उपयोग करें जिसमें क्वेरी भेजने वाले व्यक्ति द्वारा नियंत्रित वर्ण शामिल हैं।
कई में, यदि अधिकांश नहीं, वेबशेल-आधारित हमलों की तारीख की जांच की जाती है, तो प्रगति को संदेह है कि मानव2.aspx नाम की एक दुष्ट वेबशेल फ़ाइल संभवतः .cmdline एक्सटेंशन वाली नई बनाई गई दुर्भावनापूर्ण फ़ाइलों के साथ मिल सकती है। Sophos उत्पाद Troj/WebShel-GO के नाम से जानी जाने वाली webshell फ़ाइलों का पता लगाते हैं और ब्लॉक करते हैं, चाहे उनका नाम human2.aspx हो या नहीं।
हालांकि, यह याद रखना महत्वपूर्ण है कि यदि पैच जारी होने से पहले अन्य हमलावरों को इस शून्य-दिन के बारे में पता था, तो हो सकता है कि उन्होंने अलग और अधिक सूक्ष्म आदेश दिए हों। केवल अवशिष्ट मैलवेयर के लिए स्कैन करके या लॉग में दिखाई देने वाले ज्ञात फ़ाइल नामों की खोज करके इनका पता नहीं लगाया जा सकता है।
उलटी गिनती 14.06.2023/XNUMX/XNUMX तक चलती है
Умереть सीएलओपी समूह ने उन सभी कंपनियों को अल्टीमेटम जारी किया है जिन पर एपीटी समूह ने हमला किया है: कंपनियों को विशिष्ट ई-मेल पतों पर ई-मेल द्वारा रिपोर्ट करनी चाहिए। उसके बाद, उन्हें चैट रूम के लिंक के साथ एक ईमेल प्राप्त होगा। वहां उन्हें फिरौती की मांग पर बातचीत करनी चाहिए। जो कोई भी अनुपालन नहीं करता है, उसे CLOP द्वारा स्तंभित किया जाएगा: दूसरे शब्दों में, कंपनी का नाम पहले प्रकाशित किया जाएगा। बाद में वे दबाव बढ़ाने के लिए कैप्चर किए गए डेटा के कुछ हिस्सों को भी प्रकाशित करना चाहते हैं.
Sophos.com पर अधिक
सोफोस के बारे में सोफोस पर 100 देशों में 150 मिलियन से अधिक उपयोगकर्ता भरोसा करते हैं। हम जटिल आईटी खतरों और डेटा हानि के विरुद्ध सर्वोत्तम सुरक्षा प्रदान करते हैं। हमारे व्यापक सुरक्षा समाधानों को तैनात करना, उपयोग करना और प्रबंधित करना आसान है। वे उद्योग में स्वामित्व की सबसे कम कुल लागत की पेशकश करते हैं। सोफोस पुरस्कार विजेता एन्क्रिप्शन समाधान, एंडपॉइंट, नेटवर्क, मोबाइल डिवाइस, ईमेल और वेब के लिए सुरक्षा समाधान प्रदान करता है। मालिकाना विश्लेषण केंद्रों के हमारे वैश्विक नेटवर्क सोफोसलैब्स से भी समर्थन प्राप्त है। सोफोस का मुख्यालय बोस्टन, यूएसए और ऑक्सफोर्ड, यूके में है।