В последнее время активно обсуждается недавно обнаруженная уязвимость нулевого дня в MOVEit – решении для управляемой передачи файлов, которое широко используется поставщиками критически важных инфраструктур, государственными и коммерческими предприятиями США.
Одна из основных проблем заключается в наличии решения для управляемой передачи файлов через Интернет. Пока еще рано делать окончательные выводы, но похоже, что эксплойт использует уязвимость SQL-инъекции в половине программного обеспечения, выходящей в интернет.
Это позволяет злоумышленнику закрепиться на сервере, где он может получить возможность постоянного использования кода webshell, который позволяет создать инфраструктуру управления и контроля. Таким образом, злоумышленник может выполнить следующие действия на сервере:
- Получение списка сохраненных файлов, имени пользователя, загрузившего файлы, и путей к ним.
- Создание и удаление нового произвольного пользователя MOVEit Transfer с именем входа ‘Health Check Service’ и создание новых сеансов MySQL.
- Получение информации о настроенной учетной записи Azure Blob Storage, включая параметры AzureBlobStorageAccount, AzureBlobKey и AzureBlobContainer, как описано в этой справочной статье Progress.
Угрожающие субъекты могут использовать эту информацию, чтобы затем украсть данные непосредственно из контейнеров Azure Blob Storage жертвы.
- Скачивание файлов с сервера.
Ослабление атаки с помощью технологий Cross Domain
Кросс-доменные технологии широко используются правительствами по всему миру для защиты от современных атак. В портфеле продуктов Forcepoint есть два коммерчески доступных продукта, которые в паре с программным обеспечением MOVEit могли бы снизить эффективность этой атаки. Эти продукты – Data Guard и High Speed Verifier. Data Guard можно использовать в качестве решения для передачи файлов по протоколу SCP. Использование Data Guard в качестве разделителя двух сетей гарантирует, что любые базовые атаки SQL-инъекций на программное обеспечение MOVEit будут остановлены. Затем программа передачи данных MOVEit может переместить файл в папку назначения:
Для обеспечения дополнительной надежности можно установить высокоскоростной верификатор Forcepoint. Развертывание аппаратного устройства проверки между двумя сетями гарантирует, что данные, проходящие между ними, остаются защищенными от вредоносных программ, что еще больше повышает уровень надежности.
В заключение следует отметить, что решения по междоменной передаче данных играют важную роль в защите организаций от широкого спектра атак, как продвинутых, так и базовых. Реализуя программное или аппаратное разделение между внутренней сетью организации и сетью, выходящей в Интернет, эти решения обеспечивают надежный механизм защиты. Они эффективно предотвращают несанкционированный доступ и снижают риск утечки данных, обеспечивая целостность и безопасность конфиденциальной информации. Будь то защита от сложных киберугроз, таких как «нулевой день» MOVEit, или предотвращение более традиционных векторов атак, решения Cross Domain Data Transfer предлагают комплексное решение, позволяющее организациям уверенно защищать свои цифровые активы.
Источник: The MOVEit Zero-Day Vulnerability and the Importance of Cross Domain Solutions in Data Transfer
