Минулого тижня Progress Software повідомила про критичну вразливість безпеки (CVE-2023-34362) у своєму продукті MOVEit Transfer і пов’язаних хмарних рішеннях MOVEit. Група APT CLOP, яка також висунула ультиматум до 14.06 червня, здійснила масові атаки та крадіжки даних на програмне забезпечення, яке часто використовується у всьому світі.
Як випливає з назви, MOVEit Transfer — це система, яка дозволяє легко зберігати та обмінюватися файлами між командою, відділом, компанією чи навіть ланцюгом поставок. Програмне забезпечення також використовується, наприклад, AOK. У поточному випадку виявилося, що веб-інтерфейс MOVEit, який дозволяє ділитися файлами та керувати ними через веб-браузер, має уразливість SQL-ін’єкції. Цей тип обміну файлами дуже популярний, оскільки цей процес зазвичай вважається менш схильним до неправильно спрямованих або «втрачених» файлів, ніж обмін електронною поштою.
Хороші та погані новини
Хороша новина в цьому випадку полягає в тому, що Progress виправив усі підтримувані версії MOVEit, а також свою хмарну службу, щойно компанії стало відомо про вразливість. Клієнти, які використовують хмарну версію, автоматично оновлюються. Версії, які працюють у їхній власній мережі, повинні активно виправлятися. Клієнти MOVEit повинні запустити компромісне сканування НА ДОДАТОК до встановлення виправлення. Одного тільки виправлення НЕДОСТАТОЧНО.
Погана новина полягає в тому, що ця вразливість була вразливістю нульового дня, тобто Progress дізнався про неї, оскільки кіберзлочинці вже скористалися нею. Іншими словами, перед випуском виправлення бази даних MOVEit SQL вже могли бути впроваджені шахрайськими командами з рядом можливих наслідків:
- Видалення наявних даних: Класичним результатом SQL-атаки є масштабне знищення даних.
- Викрадання наявних даних: Замість того, щоб видаляти таблиці SQL, зловмисники можуть вводити власні запити і таким чином не тільки вивчати структуру внутрішніх баз даних, але й витягувати та викрадати важливі частини.
- Зміна існуючих даних: Зловмисники можуть вирішити пошкодити або знищити дані замість того, щоб їх викрасти.
- Імплантація нових файлів, у тому числі шкідливих програм: Зловмисники можуть вводити команди SQL, які, у свою чергу, запускають команди зовнішньої системи, дозволяючи довільне віддалене виконання коду в мережі.
Група зловмисників, яких Microsoft вважає сумно відомою групою програм-вимагачів CLOP (або пов’язаною з нею), вже використала цю вразливість для впровадження так званих веб-оболонок на уражені сервери.
Що робити для більшої безпеки?
- Якщо ви є користувачем MOVEit, переконайтеся, що всі екземпляри програмного забезпечення у вашій мережі виправлені.
- Якщо ви не можете встановити виправлення наразі, вимкніть веб-інтерфейси (HTTP і HTTPS) для ваших серверів MOVEit, поки це не з’явиться. Очевидно, ця вразливість виявляється лише через веб-інтерфейс MOVEit, а не через інші шляхи доступу, такі як SFTP.
- Перевірте свої журнали на наявність нещодавно доданих файлів веб-сервера, новостворених облікових записів користувачів і неочікувано великих завантажень даних. У прогресі є список місць для пошуку, а також імена файлів і місця для пошуку.
- Якщо ви програміст, очистіть свої введення.
- Якщо ви програміст SQL, використовуйте параметризовані запити замість того, щоб генерувати команди запитів, які містять символи, якими керує особа, яка надсилає запит.
У багатьох, якщо не в більшості, атак на основі веб-оболонки, досліджених на сьогоднішній день, Progress підозрює, що, ймовірно, можна знайти фальшивий файл веб-оболонки під назвою human2.aspx, можливо, разом із новоствореними шкідливими файлами з розширенням .cmdline. Продукти Sophos виявляють і блокують файли webshell, відомі як Troj/WebShel-GO, незалежно від того, мають вони назву human2.aspx чи ні.
Однак важливо пам’ятати, що якщо інші зловмисники знали про цей нульовий день до виходу виправлення, вони могли ввести інші та тонші команди. Їх можна не виявити шляхом простого сканування на наявність залишків зловмисного програмного забезпечення або пошуку відомих імен файлів, які можуть відображатися в журналах.
Зворотний відлік триває до 14.06.2023
Померти Група CLOP висунула ультиматум усім компаніям, які зазнали нападів з боку групи APT: Компанії повинні надсилати звіти електронною поштою на конкретні адреси електронної пошти. Після цього вони отримають електронний лист із посиланням на чат. Там вони повинні домовитися про вимогу викупу. Будь-хто, хто не дотримується вимог, буде поставлений на позорний стовп CLOP: іншими словами, назва компанії буде опублікована першою. Пізніше вони також хочуть опублікувати частину отриманих даних, щоб посилити тиск.
Більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.