Останнім часом активно обговорюється нещодавно виявлена вразливість нульового дня в MOVEit – рішення для керованої передачі файлів, яке широко використовується постачальниками критично важливих інфраструктур, державними та комерційними підприємствами США.
Однією з основних проблем є рішення для керованої передачі файлів через Інтернет. Поки що рано робити остаточні висновки, але схоже, що експлойт використовує вразливість SQL-ін’єкції в частині програмного забезпечення, що виходить в інтернет.
Це дозволяє зловмиснику закріпитися на сервері, де він може отримати можливість постійного використання коду webshell, який дозволяє створити інфраструктуру управління та контролю. Таким чином, зловмисник може виконати такі дії на сервері:
- Отримання списку збережених файлів, імені користувача, який завантажив файли, та шляхів до них.
- Створення та видалення нового довільного користувача MOVEit Transfer з ім’ям входу ‘Health Check Service’ та створення нових сеансів MySQL.
- Отримання інформації про налаштований обліковий запис Azure Blob Storage, включаючи параметри AzureBlobStorageAccount, AzureBlobKey та AzureBlobContainer, як описано в цій довідковій статті Progress.
Суб’єкти загроз можуть використовувати цю інформацію, щоб потім викрасти дані безпосередньо з контейнерів Azure Blob Storage жертви.
- Завантаження файлів із сервера.
Послаблення атаки за допомогою технологій Cross Domain
Крос-доменні технології широко використовуються урядами у всьому світі для захисту від сучасних атак. У портфелі продуктів Forcepoint є два комерційно доступні продукти, які в парі з програмним забезпеченням MOVEit могли б знизити ефективність цієї атаки. Ці продукти – Data Guard та High Speed Verifier. Data Guard можна використовувати як рішення передачі файлів за протоколом SCP. Використання Data Guard як роздільника двох мереж гарантує, що будь-які базові атаки SQL-ін’єкцій на програмне забезпечення MOVEit будуть зупинені. Потім програма передачі даних MOVEit може перемістити файл до папки призначення:
Для додаткової надійності можна встановити високошвидкісний верифікатор Forcepoint. Розгортання апаратного пристрою перевірки між двома мережами гарантує, що дані, що проходять між ними, залишаються захищеними від шкідливих програм, що підвищує рівень надійності.
На закінчення слід зазначити, що рішення щодо міждоменної передачі даних відіграють важливу роль у захисті організацій від широкого спектра атак, як просунутих, так і базових. Реалізуючи програмний або апаратний поділ між внутрішньою мережею організації та мережею, що виходить в Інтернет, ці рішення забезпечують надійний механізм захисту. Вони ефективно запобігають несанкціонованому доступу та знижують ризик витоку даних, забезпечуючи цілісність та безпеку конфіденційної інформації. Чи то захист від складних кіберзагроз, таких як “нульовий день” MOVEit, чи запобігання більш традиційним векторам атак, рішення Cross Domain Data Transfer пропонують комплексне рішення, що дозволяє організаціям впевнено захищати свої цифрові активи.
Джерело: The MOVEit Zero-Day Vulnerability and the Importance of Cross Domain Solutions in Data Transfer
