La scorsa settimana, Progress Software ha segnalato una vulnerabilità di sicurezza critica (CVE-2023-34362) nel suo prodotto MOVEit Transfer e nelle relative soluzioni cloud MOVEit. Il gruppo APT CLOP, che ha anche emesso un ultimatum fino al 14.06 giugno, ha effettuato attacchi di massa e furto di dati sul software che viene spesso utilizzato in tutto il mondo.
Come suggerisce il nome, MOVEit Transfer è un sistema che consente di archiviare e condividere facilmente i file all'interno di un team, dipartimento, azienda o persino una catena di fornitura. Il software viene utilizzato anche dall'AOK, ad esempio. Nel caso in questione, è emerso che il front-end basato sul Web di MOVEit, che consente la condivisione e la gestione dei file tramite un browser Web, presenta una vulnerabilità SQL injection. Questo tipo di condivisione di file è molto popolare in quanto il processo è generalmente considerato meno incline a file indirizzati in modo errato o "persi" rispetto alla condivisione tramite posta elettronica.
buone notizie e cattive notizie
La buona notizia in questo caso è che Progress ha corretto tutte le versioni MOVEit supportate e il suo servizio basato su cloud non appena l'azienda è venuta a conoscenza della vulnerabilità. I clienti che utilizzano la versione cloud vengono aggiornati automaticamente, mentre le versioni in esecuzione sulla propria rete devono essere aggiornate attivamente. I clienti MOVEit devono eseguire una scansione di compromissione OLTRE all'installazione della patch. Il patch da solo NON è sufficiente.
La cattiva notizia è che questa vulnerabilità era una vulnerabilità zero-day, il che significa che Progress l'ha scoperto perché i criminali informatici l'avevano già sfruttata. In altre parole, prima del rilascio della patch, i database di backend MOVEit SQL potrebbero essere già stati iniettati con comandi fraudolenti, con una serie di possibili conseguenze:
- Cancellazione dei dati esistenti: Il classico risultato di un attacco SQL injection è la distruzione dei dati su larga scala.
- Esfiltrazione di dati esistenti: Invece di eliminare le tabelle SQL, gli aggressori potrebbero iniettare le proprie query e quindi non solo apprendere la struttura dei database interni, ma anche estrarre e rubare parti importanti.
- Modifica dei dati esistenti: Gli aggressori potrebbero scegliere di corrompere o distruggere i dati invece di rubarli.
- Impianto di nuovi file, inclusi malware: Gli aggressori potrebbero iniettare comandi SQL, che a loro volta lanciano comandi di sistema esterni, consentendo l'esecuzione di codice remoto arbitrario all'interno di una rete.
Un gruppo di aggressori che Microsoft ritiene essere (o a cui è associato) il famigerato gruppo di ransomware CLOP ha apparentemente già sfruttato questa vulnerabilità per iniettare le cosiddette webshell sui server interessati.
Cosa fare per maggiore sicurezza?
- Se sei un utente MOVEit, assicurati che tutte le istanze del software sulla tua rete siano aggiornate.
- Se non sei in grado di applicare le patch in questo momento, disattiva le interfacce basate sul Web (HTTP e HTTPS) sui tuoi server MOVEit fino a quando non puoi. Apparentemente, questa vulnerabilità viene rivelata solo tramite l'interfaccia web di MOVEit, non tramite altri percorsi di accesso come SFTP.
- Controlla i tuoi registri per i file del server Web aggiunti di recente, gli account utente appena creati e i download di dati di grandi dimensioni inaspettatamente. Progress ha un elenco di luoghi in cui cercare, insieme ai nomi dei file e ai luoghi in cui cercare.
- Se sei un programmatore, ripulisci i tuoi input.
- Se sei un programmatore SQL, usa query con parametri invece di generare comandi di query che contengono caratteri controllati dalla persona che invia la query.
In molti, se non nella maggior parte, degli attacchi basati su webshell esaminati fino ad oggi, Progress sospetta che sia possibile trovare un file webshell canaglia denominato human2.aspx, probabilmente insieme a file dannosi di nuova creazione con estensione .cmdline. I prodotti Sophos rilevano e bloccano i file webshell noti come Troj/WebShel-GO, indipendentemente dal fatto che siano denominati human2.aspx o meno.
Tuttavia, è importante ricordare che se altri aggressori fossero a conoscenza di questo zero-day prima del rilascio della patch, potrebbero aver inserito comandi diversi e più subdoli. Questi potrebbero non essere rilevati semplicemente scansionando malware residuo o cercando nomi di file noti che potrebbero apparire nei registri.
Il conto alla rovescia dura fino al 14.06.2023/XNUMX/XNUMX
* Il gruppo CLOP ha lanciato un ultimatum a tutte le aziende che sono state attaccate dal gruppo APT: Le aziende devono riferire via e-mail a specifici indirizzi di posta elettronica. Successivamente, riceveranno un'e-mail con un collegamento a una chat room. Lì dovrebbero quindi negoziare la richiesta di riscatto. Chi non si adegua sarà messo alla berlina dal CLOP: in altre parole, il nome dell'azienda sarà pubblicato per primo. Successivamente vogliono anche pubblicare parti dei dati acquisiti per aumentare la pressione.
Maggiori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.