Огляд
31 травня 2023 року компанія Progress Software розкрила інформацію про вразливість SQL-ін’єкції (CVE-2023-34362) у MOVEit Transfer, яка може призвести до підвищення привілеїв та потенційного несанкціонованого доступу до середовища. Progress підкреслив своїм клієнтам, що дуже важливо вжити негайних заходів.
Версії, яких торкнулась вразливість
MOVEit Transfer до версій 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5) та 2023.0.1 (15.0.1)
Подробиці
Вразливість SQL-ін’єкції, виявлена у веб-додатку MOVEit Transfer, дозволяє неавторизованому зловмиснику отримати доступ до бази даних MOVEit Transfer. Залежно від механізму бази даних, що використовується (MySQL, Microsoft SQL Server або Azure SQL) зловмисник може отримати інформацію про структуру і вміст бази даних і виконати SQL-запити, що змінюють або видаляють елементи бази даних. Постачальник додав, що цей код використовувався у існуючих середовищах у травні та червні 2023 року. Експлуатація непропатчених систем може відбуватися через HTTP чи HTTPS. Вразливість торкнулася всіх версій (наприклад, 2020.0 і 2019x), включаючи старіші версії, що не підтримуються.
Оцінка CVSS Base для цієї вразливості становить 9.8, а вектор наведено нижче:
Наведений вище вектор CVSS вказує на те, що це віддалено експлуатована вразливість мережі. Складність доступу низька, що означає, що зловмисник може розраховувати на успіх, що повторюється при атаці на вразливий компонент. Спеціальних привілеїв не потрібно, тому неавторизований зловмисник без спеціального доступу може успішно використати цю проблему. Вразлива система може бути використана без будь-якого втручання користувача. Нікому не потрібно натискати на відкриття будь-якого файлу або виконувати будь-які інші дії. Вразливість піддається хробакам (вірусам). І, нарешті, повністю порушується конфіденційність, цілісність та доступність вразливої системи.
2 червня CISA додало цю вразливість в каталог відомих вразливостей, що експлуатуються (KEVs).
7 червня Федеральне бюро розслідувань (ФБР) та Агентство з кібербезпеки та захисту інфраструктури (CISA) випустили спільний Cybersecurity Advisory, у якому поширили відомі IOCs та TTPs програми шкідливого програмного забезпечення CL0P, виявлені в ході розслідувань ФБР. Згідно зі звітом, починаючи з 27 травня 2023 року, угруповання CL0P Ransomware Gang, також відоме як TA505, почало використовувати раніше невідому вразливість SQL-ін’єкції, розкриту постачальником 31 травня.
Реакція компанії “Fidelis Cybersecurity”
Компанія Fidelis Cybersecurity випустила виявлення різних індикаторів компрометації та індикаторів атак. Клієнтам слід негайно встановити виправлення або заборонити трафік HTTP/HTTP для середовища передачі даних MOVEit. Клієнтам слід переглянути попередження Fidelis та вжити відповідних заходів для видалення всіх екземплярів файлу human2.aspx та видалення всіх файлів APP_WEB_[random].dll. Група дослідження загроз Fidelis постійно відстежує цю та інші загрози, що виникають і розвиваються, щоб забезпечити захист наших клієнтів від новітніх загроз.
Клієнтам також слід ознайомитися з різними інструкціями щодо усунення наслідків від постачальника та рекомендаціями CISA. Якщо ви не можете виконати рекомендовані кроки щодо усунення наслідків, то виконання наведених нижче заходів безпеки допоможе знизити ризик несанкціонованого доступу до вашого середовища MOVEit Transfer. Передові методи безпеки MOVEit див. тут.
- Оновіть правила мережевого брандмауера, щоб дозволити підключення до інфраструктури MOVEit Transfer лише з відомих довірених IP-адрес.
- Перевірте та видаліть усі неавторизовані облікові записи користувачів. Див. Progress MOVEit Users Documentation
- Оновіть політики віддаленого доступу, щоб дозволити вхідні з’єднання лише з відомих та довірених IP-адрес. Щоб отримати додаткові відомості про обмеження віддаленого доступу, див. Правила віддаленого доступу системного адміністратора і Політики безпеки віддаленого доступу.
- Дозволяйте вхідний доступ лише довіреним особам (наприклад, використовуючи контроль доступу на основі сертифікатів).
- Увімкніть багатофакторну автентифікацію. Багатофакторна автентифікація (MFA) захищає облікові записи MOVEit Transfer від неперевірених користувачів у разі втрати, крадіжки або компрометації пароля облікового запису. Щоб увімкнути MFA, зверніться до MOVEit Transfer Multi-factor Authentication Documentation.
Висновок
Вразливість CVE-2023-34362 була використана агентом загрози здирницького ПЗ CLOP для компрометації безлічі організацій з метою витоку даних та інших шкідливих дій. Вразливість привернула увагу громадськості, і ми очікуємо, що інші загрозливі суб’єкти також скористаються цією вразливістю. Нові спроби експлуатації будуть пришвидшені. Виробник випустив офіційне виправлення, і Fidelis рекомендує клієнтам встановити виправлення та переглянути свої XDR-повідомлення.
Джерело: New MOVEit Vulnerability: What to Do NOW to Protect Your Organization
