Letzte Woche hat Progress Software auf eine kritische Sicherheitslücke (CVE-2023-34362) bei seinen Produkt MOVEit Transfer und den verwandten MOVEit-Cloud-Lösungen hingewiesen. Bei der weltweit oft verwendete Software erfolgten massenhaft Angriffe und Datendiebstahl durch die APT-Gruppe CLOP die auch ein Ultimatum bis zum 14.06 stellt.
Wie der Name schon sagt, handelt es sich bei MOVEit Transfer um ein System, das die einfache Speicherung und gemeinsame Nutzung von Dateien in einem Team, einer Abteilung, einem Unternehmen oder sogar einer Lieferkette ermöglicht. Die Software wird zum Beispiel auch von der AOK genutzt. Im aktuellen Fall stellte sich heraus, dass das webbasierte Frontend von MOVEit, das das Teilen und Verwalten von Dateien über einen Webbrowser ermöglicht, eine SQL-Injection-Schwachstelle hat. Diese Art des Datenaustausches ist sehr beliebt, da der Prozess im Allgemeinen als weniger anfällig für fehlgeleitete oder „verlorene“ Dateien gilt als das Teilen per E-Mail.
Gute Nachrichten und schlechte Nachrichten
Die gute Nachricht in diesem Fall ist, dass Progress alle unterstützten MOVEit-Versionen sowie seinen Cloud-basierten Dienst gepatcht hat, sobald das Unternehmen Kenntnis von der Sicherheitslücke erlangte. Kunden, die die Cloud-Version verwenden, sind automatisch auf dem neuesten Stand. Die im eigenen Netzwerk ausgeführte Versionen müssen aktiv gepatcht werden. MOVEit-Kunden müssen ZUSÄTZLICH zur Installation des Patches eine Prüfung auf Kompromittierung durchführen. Patchen allein reicht NICHT aus.
Die schlechte Nachricht ist, dass es sich bei dieser Schwachstelle um eine Zero-Day-Sicherheitslücke handelte, was bedeutet, dass Progress davon erfahren hat, weil Cyberkriminelle sie bereits ausgenutzt hatten. Mit anderen Worten: Vor Erscheinen des Patchs sind möglicherweise bereits betrügerische Befehle in MOVEit SQL-Backend-Datenbanken eingeschleust worden, mit einer Reihe möglicher Folgen:
- Löschung vorhandener Daten: Das klassische Ergebnis eines SQL-Injection-Angriffs ist die groß angelegte Datenvernichtung.
- Exfiltration vorhandener Daten: Anstatt SQL-Tabellen zu löschen, könnten Angreifer eigene Abfragen einschleusen und so nicht nur die Struktur internen Datenbanken erlernen, sondern auch wichtige Teile extrahieren und stehlen.
- Änderung vorhandener Daten: Angreifer könnten beschließen, Daten zu beschädigen oder zu zerstören, anstatt sie zu stehlen.
- Implantation neuer Dateien, einschließlich Malware: Angreifer könnten SQL-Befehle einschleusen, die wiederum externe Systembefehle starten und so eine beliebige Remotecodeausführung innerhalb eines Netzwerks ermöglichen.
Eine Gruppe von Angreifern, von denen Microsoft annimmt, dass sie die berüchtigte CLOP-Ransomware-Bande sind (oder mit ihr in Verbindung stehen), hat diese Schwachstelle offenbar bereits ausgenutzt, um sogenannte Webshells auf betroffenen Servern einzuschleusen.
Was ist zu tun für mehr Sicherheit?
- Wenn Sie MOVEit-Benutzer sind, stellen Sie sicher, dass alle Instanzen der Software in Ihrem Netzwerk gepatcht sind.
- Wenn Sie derzeit keine Patches durchführen können, schalten Sie die Schnittstellen webbasierten (HTTP- und HTTPS) zu Ihren MOVEit-Servern aus, bis Sie dies können. Offenbar wird diese Schwachstelle nur über die Weboberfläche von MOVEit aufgedeckt, nicht über andere Zugriffswege wie SFTP.
- Durchsuchen Sie Ihre Protokolle nach neu hinzugefügten Webserverdateien, neu erstellten Benutzerkonten und unerwartet großen Datendownloads. Progress verfügt über eine Liste der zu durchsuchenden Orte sowie der Dateinamen und der zu suchenden Orte.
- Wenn Sie Programmierer sind, bereinigen Sie Ihre Eingaben.
- Wenn Sie ein SQL-Programmierer sind, verwenden Sie parametrisierte Abfragen, anstatt Abfragebefehle zu generieren, die Zeichen enthalten, die von der Person gesteuert werden, die die Anfrage sendet.
Bei vielen, wenn nicht den meisten bisher untersuchten Webshell-basierten Angriffen vermutet Progress, dass wahrscheinlich eine betrügerische Webshell-Datei mit dem Namen human2.aspx gefunden werden kann, möglicherweise zusammen mit neu erstellten schädlichen Dateien mit der Erweiterung .cmdline. Sophos-Produkte erkennen und blockieren bekannte Webshell-Dateien als Troj/WebShel-GO, unabhängig davon, ob sie human2.aspx heißen oder nicht.
Es gilt allerdings zu bedenken, dass andere Angreifer, wenn sie vor der Veröffentlichung des Patches von diesem Zero-Day wussten, möglicherweise andere und subtilere Befehle eingeschleust haben. Diese können durch einfaches Scannen nach zurückgebliebener Malware oder durch Suchen nach bekannten Dateinamen, die möglicherweise in Protokollen auftauchen, eventuell nicht erkannt werden.
Countdown läuft bis 14.06.2023
Die CLOP-Gruppe hat allen Firmen, bei denen ein Angriff durch die APT-Gruppe stattgefunden hat, ein Ultimatum gestellt: Die Unternehmen sollen sich per Mail unter bestimmten E-Mail-Adressen melden. Danach würden sie eine E-Mail mit einem Link zu einem Chat-Raum erhalten. Dort sollen sie dann die Lösegeldforderung aushandeln. Wer dem nicht nachkommt, wird von CLOP an den Pranger gestellt: sprich man veröffentlicht zuerst den Unternehmensnamen. Später will man auch Teile der erbeuteten Daten veröffentlichen, um den Druck zu erhöhen.
Mehr bei Sophos.com
Über Sophos Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.