31 maja 2023 r. firma Progress Software opublikowała biuletyn bezpieczeństwa dotyczący krytycznej luki w zabezpieczeniach MOVEit Transfer.
Informacja brzmi następująco:
„W aplikacji internetowej MOVEit Transfer wykryto lukę umożliwiającą wstrzyknięcie kodu SQL, która może umożliwić nieuwierzytelnionemu atakującemu uzyskanie nieautoryzowanego dostępu do bazy danych MOVEit Transfer. W zależności od używanego silnika bazy danych (MySQL, Microsoft SQL Server lub Azure SQL), osoba atakująca może być w stanie wyciągnąć informacje o strukturze i zawartości bazy danych oprócz wykonywania instrukcji SQL, które zmieniają lub usuwają elementy w tabelach”.
Oznacza to, iż luka może doprowadzić do uzyskania przez atakującego wysokich uprawnień i nieautoryzowanego dostępu do środowiska, w którym, przypominamy, przechowywane są dane biznesowe całych organizacji.
MOVEit Transfer to szeroko stosowane oprogramowanie do przesyłania plików, które szyfruje je i wykorzystuje bezpieczne protokoły do przesyłania danych. W związku z tym ma dużą bazę użytkowników z branży krytycznej, publicznej czy rządowej. Progress reklamuje MOVEit jako wiodące bezpieczne oprogramowanie zarządzane do przesyłania plików (Managed File Transfer), używane przez tysiące organizacji na całym świecie w celu zapewnienia pełnej widoczności i kontroli działań związanych z transferami.
Aby dać wyobrażenie o możliwym wpływie podatności, świeże (z 5 czerwca) zapytanie Shodan dotyczące ujawnionych instancji MOVEit Transfer dało ponad 2500 wyników, z których większość należy do klientów z USA.
Kilku specjalistów zauważyło, iż luka jest wykorzystywana w środowisku naturalnym. BleepingComputer posiada ponoć informacje, jakoby cyberprzestępcy wykorzystywali tę podatność jako zero-day w oprogramowaniu MOVEit MFT do masowego pobierania danych z organizacji.
Metodą używaną do włamywania się do systemów jest uruchomienie powłoki internetowej w folderze wwwroot katalogu instalacyjnego MOVEit. Pozwala to atakującemu na uzyskanie listy wszystkich folderów, plików i użytkowników w MOVEit, pobranie dowolnego pliku w ramach MOVEit i wstawienie użytkownika administracyjnego (backdoora), dając atakującemu aktywną sesję umożliwiającą ominięcie poświadczeń. Jak widzimy – jest grubo.
Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) zachęca użytkowników i organizacje do zapoznania się z poradnikiem dotyczącym transferu MOVEit, postępowania zgodnie z krokami zaradczymi, stosowania niezbędnych aktualizacji i poszukiwania wszelkich złośliwych działań. Na nasze szczęście oprogramowanie MOVEit nie jest popularne w Polsce, gdzie rynek należy do podobnego softu – Box.
Kilku badaczy dostarczyło metod ułatwiających polowanie na to zagrożenie. Oto te najbardziej istotne:
- MoveIT-WebShellCheck – skrypt Pythona autorstwa ZephrFish
- Sigma Rule – autorstwa Floriana Rotha
- Yara Rule – autorstwa Floriana Rotha
- Sigma Rule – firmy Tsale
Sigma Rule to ogólny i otwarty format podpisu oparty na YAML, który umożliwia zespołowi ds. bezpieczeństwa opisywanie odpowiednich zdarzeń dziennika w elastycznym i znormalizowanym formacie. Reguły YARA to sposób identyfikowania złośliwego systemu (lub innych plików) poprzez tworzenie reguł, które wyszukują określone cechy.
Jak załagodzić podatność?
Niestety błąd dotyczy wszystkich wersji usługi MOVEit Transfer. Teraz są już dostępne poprawki i rekomendowana droga mitygacji wydana przez producenta:
1. Tymczasowo wyłącz ruch sieciowy
- Wyłącz cały ruch HTTP i HTTPs do środowiska MOVEit Transfer. Mówiąc dokładniej, zmodyfikuj reguły firewall, aby uniemożliwić ruch HTTP i HTTPs do MOVEit Transfer na portach 80 i 443 do czasu zastosowania poprawki. Należy pamiętać, iż dopóki ruch HTTP i HTTPS nie zostanie ponownie włączony, to:
- użytkownicy nie będą mogli zalogować się do internetowego interfejsu użytkownika MOVEit Transfer,
- zadania automatyzacji MOVEit korzystające z natywnego hosta transferu MOVEit nie będą działać,
- interfejsy API REST, Java i .NET nie będą działać,
- dodatek MOVEit Transfer dla programu Outlook nie będzie działać,
- protokoły SFTP i FTP/s będą przez cały czas działać normalnie,
- administratorzy przez cały czas będą mogli uzyskać dostęp do MOVEit Transfer dzięki zdalnego pulpitu, a następnie adresu https://localhost/.
2. Przejrzyj, usuń i zresetuj
- usuń nieautoryzowane pliki i konta użytkowników,
- usuń wszystkie wystąpienia plików skryptów human2.aspx i .cmdline,
- na serwerze MOVEit Transfer wyszukaj nowe pliki utworzone w katalogu C:\MOVEitTransfer\wwwroot\ oraz nowe pliki utworzone w katalogu C:\Windows\TEMP\[random]\ z rozszerzeniem pliku [.] cmdline,
- przejrzyj logi pod kątem nieoczekiwanych pobrań plików z nieznanych adresów IP lub dużej objętości pobranych plików,
- zresetuj dane uwierzytelniające kont administracyjnych i kont serwisowych dla usług MOVEit.
3. Zaktualizuj oprogramowanie MOVEit
- Aktualizacje do wszystkich wydań są już dostępne na stronie producenta
4. Włącz ruch sieciowy, weryfikuj i monitoruj
- Włącz cały ruch HTTP i HTTPs do środowiska MOVEit Transfer. Następnie potwierdź, iż pliki zostały pomyślnie usunięte i iż nie pozostały żadne nieautoryzowane konta, wykonując ponownie czynności opisane w sekcji „Przejrzyj, usuń i zresetuj”. jeżeli znajdziesz oznaki naruszenia bezpieczeństwa, należy raz jeszcze zresetować poświadczenia konta usługi. Monitoruj sieć, punkty końcowe i logi pod kątem IoC.