Продукти Symantec захищають від використання вразливостей, які активно експлуатуються суб’єктами кіберзлочинності.
Вимагачі активно використовують нещодавно виправлену вразливість у MOVEit Transfer, програми для передачі файлів, яка широко використовується для передачі інформації між організаціями. Характер порушеного програмного забезпечення означає, що зловмисники можуть використовувати незапатчені системи для організації атаки на ланцюжок поставок проти кількох організацій.
До появи патча зловмисники, пов’язані з діяльністю шкідливої програми Clop, вже використовували CVE-2023-34362 як вразливість нульового дня. Доказовий код експлойта тепер знаходиться у відкритому доступі, що означає, що інші зловмисники, швидше за все, намагатимуться використати непропатчені системи.
Що таке MOVEit Transfer?
MOVEit Transfer – це керований додаток для передачі файлів, розроблений компанією Progress Software. Він призначений для безпечної передачі файлів між підприємствами та їх клієнтами.
У чому суть вразливості?
Оригінальна вразливість (CVE-2023-34362) виникає у веб-додатку MOVEit Transfer. Вона торкнулася всіх версій до 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5) та 2023.0.1 (15.0.1) “[Зловмисник] може отримати інформацію про структуру та вміст бази даних на додаток до виконання SQL-запитів, які змінюють або видаляють елементи бази даних”, – йдеться у повідомленні Progress.
Як довго експлуатувалася вразливість до того, як її було виправлено?
Згідно з урядовим повідомленням США, активна експлуатація розпочалася 27 травня 2023 року.
Як вразливість експлуатується досі?
Вразливість активно експлуатується програмою-вимагачем Clop. Згідно з спільним повідомленням Федерального бюро розслідувань США (ФБР) та Агентства з кібербезпеки та захисту інфраструктури (CISA), зловмисники використали вразливість для встановлення веб-оболонки під назвою Lemurloot (JS.Malscript!g1) на вражені системи. Потім вона використовувалася для крадіжки даних базових баз даних.
Lemurloot був розроблений спеціально для платформи MOVEit Transfer. Він перевіряє справжність вхідних HTTPS-запитів за допомогою жорсткого пароля; виконує команди, які завантажують файли із бази даних MOVEit Transfer; витягує системні налаштування Azure; витягує записи; може створювати, вставляти чи видаляти певного користувача. Відповідаючи на запит, Lemurloot повертає вкрадені дані у форматі comfile.
Незабаром після розкриття вразливості зловмисники, пов’язані з програмою-вимагачем Clop, взяли на себе відповідальність за атаку і заявили, що викрали дані багатьох користувачів MOVEit та їх клієнтів. Вони погрожували оприлюднити вкрадені дані, якщо не буде виплачено викуп.
Що відомо про Clop?
Clop – це програма-вимагач, створена кіберзлочинним угрупованням Snakefly (вона ж TA505, FIN11). Спочатку група вимагала гроші у жертв, шифруючи файли за допомогою власного корисного навантаження (Ransom.Clop), але останнім часом вона почала відмовлятися від шифрування та використовувати загрозу витоку вкрадених даних для вимагання.
Група має досвід експлуатації вразливостей нульового дня. У 2021 році вона була пов’язана з експлуатацією численних вразливостей в Accellion FTA, іншої програми для передачі файлів. Раніше цього року вона була відповідальна за використання вразливості нульового дня (CVE-2023-0669) у платформі GoAnywhere MFT.
Як продукти Symantec захищають від експлуатації цієї вразливості?
Продукти Symantec захищають від спроб експлуатації та корисного навантаження за допомогою таких засобів виявлення:
Файловий
- JS.Malscript!g1
- Троянський кінь
- Trojan.Gen.2
- Trojan.Gen.NPE
- Trojan.Malscript
- Trojan.Webshell
- WS.Malware.1
- WS.Malware.2
На основі машинного навчання
- Heur.AdvML.C
Мережева
- Атака: MOVEit Transfer RCE CVE-2023-34362
На основі політик
Політики посилення безпеки центру обробки даних (DCS) за замовчуванням, такі як sym_win_hardened_sbp, забезпечують захист від вразливості нульового дня CVE-2023-34362. Контроль політики DCS “Обмеження на встановлення ПЗ” для MS SQL, MS IIS та інших зміцнених пісочниць додатків зупиняє використання цієї вразливості програмою Clop ransomware, запобігаючи довільному розгортанню веб-оболонок та несанкціонованого ПЗ.
Веб-інтерфейс
Домени/IP, що спостерігаються, охоплюються категоріями безпеки.
Захист/Зниження ризиків
Для отримання останніх оновлень про захист, будь ласка, відвідайте Symantec Protection Bulletin.
