Οι χάκερ εκμεταλλεύονται ενεργά μια ευπάθεια zero-day στο λογισμικό μεταφοράς αρχείων MOVEit Transfer για να κλέψουν δεδομένα από οργανισμούς.

Το MOVEit Transfer είναι μια λύση διαχειριζόμενης μεταφοράς αρχείων (MFT) που αναπτύχθηκε από την Ipswitch, θυγατρική της Progress Software Corporation με έδρα τις ΗΠΑ, η οποία επιτρέπει στην επιχείρηση να μεταφέρει με ασφάλεια αρχεία μεταξύ επιχειρηματικών συνεργατών και πελατών χρησιμοποιώντας μεταφορτώσεις που βασίζονται σε SFTP, SCP και HTTP.

Το Progress MOVEit Transfer προσφέρεται ως λύση on-premise, την οποία διαχειρίζεται ο πελάτης, και ως πλατφόρμα cloud SaaS, την οποία διαχειρίζεται ο προγραμματιστής.

Δείτε επίσης: Το SeroXen RAT malware στοχεύει gamers

Δείτε επίσης: Horabot botnet: Νέα κακόβουλη εκστρατεία στοχεύει λογαριασμούς email

Μαζική εκμετάλλευση Zero-day για την κλοπή δεδομένων

Το BleepingComputer έμαθε ότι οι φορείς απειλών εκμεταλλεύονται μια ευπάθεια zero-day στο λογισμικό MOVEit MFT για να πραγματοποιούν μαζικές λήψεις δεδομένων από οργανισμούς.

Δεν είναι σαφές πότε έγινε η εκμετάλλευση και ποιοι απειλητικοί φορείς είναι υπεύθυνοι για τις επιθέσεις, αλλά το BleepingComputer έχει ενημερωθεί ότι πολλοί οργανισμοί έχουν παραβιαστεί και τα δεδομένα τους έχουν κλαπεί.

Χθες, η Progress κυκλοφόρησε μια συμβουλευτική ασφαλείας που προειδοποιεί τους πελάτες για μια “κρίσιμη” ευπάθεια στο MOVEit MFT, προσφέροντας μετριασμό μέχρι να εγκατασταθούν τα διορθωτικά.

Για να αποτρέψουν το , οι προγραμματιστές προειδοποιούν τους διαχειριστές να μπλοκάρουν την εξωτερική κυκλοφορία στις θύρες 80 και 443 του MOVEit Transfer Server.

Η Progress προειδοποιεί ότι ο αποκλεισμός αυτών των θυρών θα εμποδίσει την εξωτερική πρόσβαση στο web UI, θα εμποδίσει τη λειτουργία ορισμένων εργασιών αυτοματισμού MOVEit, θα μπλοκάρει τα API και θα εμποδίσει τη λειτουργία του πρόσθετου Outlook MOVEit Transfer.

Ωστόσο, τα πρωτόκολλα SFTP και FTP/s μπορούν να συνεχίσουν να χρησιμοποιούνται για τη μεταφορά αρχείων.

Οι προγραμματιστές προειδοποιούν επίσης τους διαχειριστές να ελέγχουν το φάκελο ‘c:\\MOVEit Transfer\wwwroot\’ για απροσδόκητα αρχεία, συμπεριλαμβανομένων των αντιγράφων ασφαλείας και των λήψεων μεγάλων αρχείων.

Με βάση τις πληροφορίες που έλαβε το BleepingComputer, οι μεγάλες λήψεις ή τα απροσδόκητα αντίγραφα ασφαλείας είναι πιθανές ενδείξεις ότι οι απειλητικοί φορείς έχουν κλέψει ή βρίσκονται στη διαδικασία κλοπής δεδομένων.

Δεν έχουν κυκλοφορήσει πληροφορίες σχετικά με την ευπάθεια μηδενικής ημέρας.Ωστόσο, με βάση τις θύρες που έχουν αποκλειστεί και την καθορισμένη τοποθεσία για τον έλεγχο ασυνήθιστων αρχείων, είναι πιθανό ότι το ελάττωμα είναι μια ευπάθεια που αφορά τον ιστό.

Μέχρι να κυκλοφορήσει ένα patch για την έκδοσή σας, συνιστάται έντονα στους οργανισμούς να τερματίσουν τυχόν μεταφορές MOVEit και να διεξάγουν ενδελεχή έρευνα για συμβιβασμό πριν εφαρμόσουν το patch και επαναφέρουν τον διακομιστή σε λειτουργία.

Παρακάτω παρατίθεται ο τρέχων κατάλογος των εκδόσεων του MOVEit Transfer για τις οποίες είναι διαθέσιμο ένα patch:

Λεπτομέρειες επίθεσης

Η εταιρεία κυβερνοασφάλειας Rapid7 έχει δηλώσει ότι το ελάττωμα MOVEit Transfer είναι μια ευπάθεια SQL injection, που οδηγεί σε απομακρυσμένη εκτέλεση κώδικα, ωστόσο, επί του παρόντος δεν έχει εκχωρηθεί CVE.

Η Rapid7 δηλώνει ότι υπάρχουν 2.500 εκτεθειμένοι διακομιστές MOVEit Transfer, η πλειονότητα των οποίων βρίσκεται στις Ηνωμένες Πολιτείες, και όλες αυτές οι συσκευές που χρησιμοποιήθηκαν περιείχαν το ίδιο webshell.

Αυτό το webshell ονομάζεται ‘human2.asp’ [VirusTotal] και βρίσκεται στον δημόσιο φάκελο HTML c:\MOVEit Transfer\wwwroot\.

Από την ανάλυση του BleepingComputer, όταν γίνεται πρόσβαση στο webshell και παρέχεται ο σωστός κωδικός πρόσβασης, το σενάριο θα εκτελέσει διάφορες εντολές με βάση τις τιμές των επικεφαλίδων αίτησης ‘X-siLock-Step1’, ‘X-siLock-Step2’ και ‘X-siLock-Step3’.

Αυτές οι εντολές επιτρέπουν στον απειλητικό παράγοντα να κατεβάζει διάφορες πληροφορίες από τον διακομιστή MySQL του MOVEit Transfer και να εκτελεί διάφορες ενέργειες, όπως:

  • Ανάκτηση μιας λίστας με αποθηκευμένα αρχεία, το όνομα χρήστη που ανέβασε τα αρχεία και τις διαδρομές των αρχείων τους.
  • Εισαγωγή και διαγραφή ενός τυχαίου χρήστη με το όνομα MOVEit Transfer με το όνομα σύνδεσης ‘Health Check Service’ και δημιουργία νέων συνεδριών MySQL.
  • Ανάκτηση πληροφοριών σχετικά με τον διαμορφωμένο λογαριασμό Azure Blob Storage, συμπεριλαμβανομένων των ρυθμίσεων AzureBlobStorageAccount, AzureBlobKey και AzureBlobContainer, όπως περιγράφεται σε αυτό το άρθρο βοήθειας Progress.

Οι απειλητικοί φορείς μπορούν να χρησιμοποιήσουν αυτές τις πληροφορίες για να κλέψουν δεδομένα απευθείας από τα εμπορευματοκιβώτια Azure Blob Storage των θυμάτων.

  • Λήψη αρχείων από τον διακομιστή.

Οι διαχειριστές του MOVEit Transfer έχουν επίσης αναφέρει στο Reddit ότι βρίσκουν και πολλά τυχαία αρχεία με το όνομα App_Web_<random>.dll, όπως το App_Web_feevjhtu.dll, μετά από παραβίαση όταν θα έπρεπε να υπάρχει μόνο ένα.

Η Huntress αναφέρει επίσης ότι οι ακόλουθες διευθύνσεις IP έχουν συσχετιστεί με τις επιθέσεις:

Ο ερευνητής κυβερνοασφάλειας Kevin Beaumont λέει ότι πληροφορήθηκε αξιόπιστα ότι η πλατφόρμα MOVEit Transfer SaaS επηρεάστηκε επίσης από την ευπάθεια, διευρύνοντας έτσι σημαντικά τη βάση των πιθανών θυμάτων.

Πηγή πληροφοριών: bleepingcomputer.com