Продукты Symantec защищают от использования уязвимостей, которые активно эксплуатируются субъектами киберпреступности.
Вымогатели активно используют недавно исправленную уязвимость в MOVEit Transfer, приложении для передачи файлов, которое широко используется для передачи информации между организациями. Характер затронутого программного обеспечения означает, что злоумышленники могут использовать незапатченные системы для организации атаки на цепочку поставок против нескольких организаций.
До появления патча злоумышленники, связанные с деятельностью вредоносной программы Clop, уже использовали CVE-2023-34362 как уязвимость нулевого дня. Доказательный код эксплойта теперь находится в открытом доступе, что означает, что другие злоумышленники, скорее всего, попытаются использовать непропатченные системы.
Что такое MOVEit Transfer?
MOVEit Transfer – это управляемое приложение для передачи файлов, разработанное компанией Progress Software. Оно предназначено для безопасной передачи файлов между предприятиями и их клиентами.
В чем суть уязвимости?
Оригинальная уязвимость (CVE-2023-34362) возникает в веб-приложении MOVEit Transfer. Она затронула все версии до 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5) и 2023.0.1 (15.0.1). «[Злоумышленник] может получить информацию о структуре и содержимом базы данных в дополнение к выполнению SQL-запросов, которые изменяют или удаляют элементы базы данных», – говорится в сообщении Progress.
Как долго эксплуатировалась уязвимость до того, как она была исправлена?
Согласно правительственному сообщению США, активная эксплуатация началась 27 мая 2023 года.
Как уязвимость эксплуатируется до сих пор?
Уязвимость активно эксплуатируется программой-вымогателем Clop. Согласно совместному сообщению Федерального бюро расследований США (ФБР) и Агентства по кибербезопасности и защите инфраструктуры (CISA), злоумышленники использовали уязвимость для установки веб-оболочки под названием Lemurloot (JS.Malscript!g1) на пораженные системы. Затем она использовалась для кражи данных из базовых баз данных.
Lemurloot был разработан специально для платформы MOVEit Transfer. Он проверяет подлинность входящих HTTPS-запросов с помощью жестко заданного пароля; выполняет команды, которые загружают файлы из базы данных MOVEit Transfer; извлекает системные настройки Azure; извлекает записи; может создавать, вставлять или удалять определенного пользователя. Отвечая на запрос, Lemurloot возвращает украденные данные в формате comfile.
Вскоре после раскрытия уязвимости злоумышленники, связанные с программой-вымогателем Clop, взяли на себя ответственность за атаку и заявили, что похитили данные множества пользователей MOVEit и их клиентов. Они угрожали обнародовать украденные данные, если не будет выплачен выкуп.
Что известно о Clop?
Clop – это программа-вымогатель, созданная киберпреступной группировкой Snakefly (она же TA505, FIN11). Изначально группа вымогала деньги у жертв, шифруя файлы с помощью собственной полезной нагрузки (Ransom.Clop), но в последнее время она стала отказываться от шифрования и использовать угрозу утечки украденных данных для вымогательства.
Группа имеет опыт эксплуатации уязвимостей нулевого дня. В 2021 году она была связана с эксплуатацией многочисленных уязвимостей в Accellion FTA, другом приложении для передачи файлов. Ранее в этом году она была ответственна за использование уязвимости нулевого дня (CVE-2023-0669) в платформе GoAnywhere MFT.
Как продукты Symantec защищают от эксплуатации этой уязвимости?
Продукты Symantec защищают от попыток эксплуатации и полезной нагрузки с помощью следующих средств обнаружения:
- Файловый
- JS.Malscript!g1
- Троянский конь
- Trojan.Gen.2
- Trojan.Gen.NPE
- Trojan.Malscript
- Trojan.Webshell
- WS.Malware.1
- WS.Malware.2
На основе машинного обучения
- Heur.AdvML.C
Сетевая
- Атака: MOVEit Transfer RCE CVE-2023-34362
На основе политик
Политики усиления безопасности центра обработки данных (DCS) по умолчанию, такие как sym_win_hardened_sbp обеспечивают защиту от уязвимости нулевого дня CVE-2023-34362. Контроль политики DCS «Ограничения на установку ПО» для MS SQL, MS IIS и других упрочненных песочниц приложений останавливает использование этой уязвимости программой Clop ransomware, предотвращая произвольное развертывание веб-оболочек и несанкционированного ПО.
Веб-интерфейс
Наблюдаемые домены/IP охватываются категориями безопасности.
Защита/Снижение рисков
Для получения последних обновлений о защите, пожалуйста, посетите Symantec Protection Bulletin.
