Na semana passada, a Progress Software relatou uma vulnerabilidade de segurança crítica (CVE-2023-34362) em seu produto MOVEit Transfer e soluções de nuvem MOVEit relacionadas. O grupo CLOP da APT, que também emitiu um ultimato até 14.06 de junho, realizou ataques em massa e roubo de dados no software que é frequentemente usado em todo o mundo.
Como o nome sugere, o MOVEit Transfer é um sistema que permite fácil armazenamento e compartilhamento de arquivos entre uma equipe, departamento, empresa ou até mesmo uma cadeia de suprimentos. O software também é usado pelo AOK, por exemplo. No caso atual, descobriu-se que o front-end baseado na web do MOVEit, que permite que arquivos sejam compartilhados e gerenciados por meio de um navegador da web, tem uma vulnerabilidade de injeção de SQL. Esse tipo de compartilhamento de arquivos é muito popular, pois o processo geralmente é considerado menos propenso a arquivos mal direcionados ou "perdidos" do que o compartilhamento de e-mail.
Boas e más notícias
A boa notícia neste caso é que a Progress corrigiu todas as versões suportadas do MOVEit, bem como seu serviço baseado em nuvem, assim que a empresa tomou conhecimento da vulnerabilidade. Os clientes que usam a versão em nuvem são atualizados automaticamente. As versões em execução em sua própria rede devem ser ativamente corrigidas. Os clientes do MOVEit devem executar uma verificação de comprometimento ALÉM da instalação do patch. Aplicar patches sozinho NÃO é suficiente.
A má notícia é que essa vulnerabilidade era de dia zero, o que significa que a Progress a descobriu porque os cibercriminosos já a haviam explorado. Em outras palavras, antes do lançamento do patch, os bancos de dados de back-end do MOVEit SQL já podem ter sido injetados com comandos fraudulentos, com várias consequências possíveis:
- Exclusão de dados existentes: O resultado clássico de um ataque de injeção de SQL é a destruição de dados em larga escala.
- Exfiltração de dados existentes: Em vez de excluir tabelas SQL, os invasores podem injetar suas próprias consultas e, assim, não apenas aprender a estrutura dos bancos de dados internos, mas também extrair e roubar partes importantes.
- Mudança de dados existentes: Os invasores podem optar por corromper ou destruir os dados em vez de roubá-los.
- Implantação de novos arquivos, incluindo malware: Os invasores podem injetar comandos SQL, que por sua vez iniciam comandos externos do sistema, permitindo a execução arbitrária de código remoto dentro de uma rede.
Um grupo de invasores que a Microsoft acredita ser (ou está associado a) a infame gangue de ransomware CLOP aparentemente já explorou essa vulnerabilidade para injetar os chamados webshells nos servidores afetados.
O que fazer para ter mais segurança?
- Se você for um usuário do MOVEit, verifique se todas as instâncias do software em sua rede estão corrigidas.
- Se você não conseguir corrigir neste momento, desligue as interfaces baseadas na web (HTTP e HTTPS) para seus servidores MOVEit até que você possa. Aparentemente, esta vulnerabilidade só é revelada através da interface web do MOVEit, não através de outros caminhos de acesso como SFTP.
- Verifique seus logs em busca de arquivos de servidor da Web recém-adicionados, contas de usuário recém-criadas e downloads de dados inesperadamente grandes. Progress tem uma lista de lugares para pesquisar, juntamente com os nomes de arquivos e locais para pesquisar.
- Se você é um programador, limpe suas entradas.
- Se você for um programador SQL, use consultas parametrizadas em vez de gerar comandos de consulta que contenham caracteres controlados pela pessoa que envia a consulta.
Em muitos, se não na maioria, dos ataques baseados em webshell examinados até o momento, a Progress suspeita que um arquivo webshell desonesto chamado human2.aspx provavelmente pode ser encontrado, possivelmente junto com arquivos maliciosos recém-criados com uma extensão .cmdline. Os produtos Sophos detectam e bloqueiam arquivos webshell conhecidos como Troj/WebShel-GO, sejam eles nomeados human2.aspx ou não.
No entanto, é importante lembrar que, se outros invasores souberam desse dia zero antes do lançamento do patch, eles podem ter injetado comandos diferentes e mais sutis. Eles podem não ser detectados simplesmente verificando malware residual ou procurando nomes de arquivos conhecidos que podem aparecer nos logs.
Contagem regressiva vai até 14.06.2023/XNUMX/XNUMX
morrem O grupo CLOP lançou um ultimato a todas as empresas atacadas pelo grupo APT: As empresas devem reportar por e-mail para endereços de e-mail específicos. Depois disso, eles receberiam um e-mail com um link para uma sala de bate-papo. Lá eles deveriam então negociar o pedido de resgate. Quem não cumprir será ridicularizado pela CLOP: ou seja, o nome da empresa será publicado primeiro. Mais tarde, eles também querem publicar partes dos dados capturados para aumentar a pressão.
Mais em Sophos.com
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.