Обзор
31 мая 2023 года компания Progress Software раскрыла информацию об уязвимости SQL-инъекции (CVE-2023-34362) в MOVEit Transfer, которая может привести к повышению привилегий и потенциальному несанкционированному доступу к среде. Progress подчеркнул своим клиентам, что крайне важно принять немедленные меры.
Затронутые версии
MOVEit Transfer до версий 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5) и 2023.0.1 (15.0.1)
Подробности
Уязвимость SQL-инъекции, обнаруженная в веб-приложении MOVEit Transfer, позволяет неавторизованному злоумышленнику получить доступ к базе данных MOVEit Transfer. В зависимости от используемого механизма базы данных (MySQL, Microsoft SQL Server или Azure SQL) злоумышленник может получить информацию о структуре и содержимом базы данных и выполнить SQL-запросы, изменяющие или удаляющие элементы базы данных. Поставщик добавил, что данный код использовался в существующих средах в мае и июне 2023 года. Эксплуатация непропатченных систем может происходить через HTTP или HTTPS. Затронуты все версии (например, 2020.0 и 2019x) до пяти явно указанных версий, включая более старые неподдерживаемые версии.
Оценка CVSS Base для этой уязвимости составляет 9.8, а вектор приведен ниже:
Приведенный выше вектор CVSS указывает на то, что это удаленно эксплуатируемая сетевая уязвимость. Сложность доступа низкая, что означает, что злоумышленник может рассчитывать на повторяющийся успех при атаке на уязвимый компонент. Специальных привилегий не требуется, поэтому неавторизованный злоумышленник без специального доступа может успешно использовать эту проблему. Уязвимая система может быть использована без вмешательства любого пользователя. Никому не нужно нажимать на открытие какого-либо файла или выполнять какие-либо другие действия. Уязвимость поддается червям (вирусам). И, наконец, полностью нарушается конфиденциальность, целостность и доступность уязвимой системы.
2 июня CISA добавило эту уязвимость в каталог известных эксплуатируемых уязвимостей (KEVs).
7 июня Федеральное бюро расследований (ФБР) и Агентство по кибербезопасности и защите инфраструктуры (CISA) выпустили совместный Cybersecurity Advisory, в котором распространили известные IOCs и TTPs программы вредоносного ПО CL0P, выявленные в ходе расследований ФБР. Согласно отчету, начиная с 27 мая 2023 года, группировка CL0P Ransomware Gang, также известная как TA505, начала использовать ранее неизвестную уязвимость SQL-инъекция, которая была раскрыта поставщиком 31 мая.
Реакция компании Fidelis Cybersecurity
Компания Fidelis Cybersecurity выпустила обнаружение различных индикаторов компрометации и индикаторов атак. Клиентам следует немедленно установить исправления или запретить трафик HTTP/HTTPs для среды передачи данных MOVEit. Клиентам следует просмотреть предупреждения Fidelis и принять соответствующие меры для удаления всех экземпляров файла human2.aspx и удаления всех файлов APP_WEB_[random].dll. Группа исследования угроз Fidelis постоянно отслеживает эту и другие возникающие и развивающиеся угрозы, чтобы обеспечить защиту наших клиентов от новейших угроз.
Клиентам также следует ознакомиться с различными инструкциями по устранению последствий от поставщика и рекомендациями CISA. Если вы не можете выполнить рекомендованные шаги по устранению последствий, то выполнение приведенных ниже мер безопасности поможет снизить риск несанкционированного доступа к вашей среде MOVEit Transfer. Передовые методы обеспечения безопасности MOVEit см. здесь.
- Обновите правила сетевого брандмауэра, чтобы разрешить подключение к инфраструктуре MOVEit Transfer только с известных доверенных IP-адресов.
- Проверьте и удалите все неавторизованные учетные записи пользователей. См. Progress MOVEit Users Documentation.
- Обновите политики удаленного доступа, чтобы разрешить входящие соединения только с известных и доверенных IP-адресов. Дополнительные сведения об ограничении удаленного доступа см. в разделах Правила удаленного доступа системного администратора и Политики безопасности удаленного доступа.
- Разрешайте входящий доступ только доверенным лицам (например, используя контроль доступа на основе сертификатов).
- Включите многофакторную аутентификацию. Многофакторная аутентификация (MFA) защищает учетные записи MOVEit Transfer от непроверенных пользователей в случае утери, кражи или компрометации пароля учетной записи. Чтобы включить MFA, обратитесь к MOVEit Transfer Multi-factor Authentication Documentation.
Заключение
Уязвимость CVE-2023-34362 была использована агентом угрозы вымогательского ПО CLOP для компрометации множества организаций с целью утечки данных и других вредоносных действий. Уязвимость привлекла внимание общественности, и мы ожидаем, что другие угрожающие субъекты также воспользуются этой уязвимостью. Новые попытки эксплуатации будут ускорены. Производитель выпустил официальное исправление, и Fidelis настоятельно рекомендует клиентам установить исправления и просмотреть свои XDR-оповещения.
Источник: New MOVEit Vulnerability: What to Do NOW to Protect Your Organization
