0-day уязвимость в MOVEit Transfer используется для хищения данных

Рекомендуем почитать:

Xakep #305. Многошаговые SQL-инъекции

• Содержание выпуска
• Подписка на «Хакер»-60%

Критическая уязвимость CVE-2023-34362 в продукте для управления передачей файлов MOVEit Transfer, разработанном компанией Progress Software, широко используется хакерами для массовых хищений данных у организаций.

MOVEit Transfer представляет собой решение для передачи файлов, разработанное Ipswitch, дочерней компанией американской корпорации Progress Software. Продукт позволяет компаниям безопасно обмениваться файлами с партнерами и клиентами, используя SFTP, SCP и HTTP. MOVEit Transfer предлагается в виде локального решения, управляемого заказчиком, и облачной SaaS-платформы, управляемой разработчиком.

В конце прошлой недели разработчики Progress Software предупредили об обнаружении критической уязвимости в MOVEit Transfer. По их словам, эксплуатация этой уязвимости может привести к повышению привилегий и дать третьим лицам несанкционированный доступ к среде MOVEit Transfer.

Уязвимости подвержены все версии MOVEit Transfer:

В качестве временного решения всем клиентам рекомендовано как можно скорее заблокировать внешний трафик на порты 80 и 443 на сервере MOVEit Transfer. При этом разработчики предупредили, что блокировка этих портов запретит внешний доступ к веб-интерфейсу, помешает работе некоторых аспектов автоматизации, заблокирует API и помешает работе плагина Outlook MOVEit Transfer.

В качестве индикатора компрометации можно использовать папку C:\MOVEit Transfer\wwwroot\, которую стоит проверять на наличие странных файлов, включая резервные копии или крупные загрузки. Это может свидетельствовать о том, что злоумышленники уже украли данные, или кража еще совершается. Кроме того, администраторы MOVEit Transfer сообщают на Reddit, что после взлома они обнаруживают файлы App_Web_<random>.dll со случайными именами.

При этом отмечается, что протоколы SFTP и FTP/s по-прежнему можно использовать для передачи файлов.

Как рассказали ИБ-специалисты из компании Rapid7, уязвимость в MOVEit Transfer представляет собой SQL-инъекцию, которая приводит к удаленному выполнению кода и получила идентификатор CVE-2023-34362. Эксперты пишут, что в сети доступно более 2500 серверов MOVEit Transfer, большинство из которых находится в США.

Массовые атаки на 0-day начались еще 27 мая (а первые сканирования страниц входа аналитики GreyNoise выявили еще 3 марта), и теперь на всех взломанных серверах был выявлен одинаковый веб-шелл human2.asp, находившийся в общедоступной HTML-папке c:\MOVEit Transfer\wwwroot\.

Судя по всему, он способен выполнять различные команды, включая:

• получение списка сохраненных файлов, имя пользователя, загрузившего файлы, и путей к файлам;
• внедрять и удалять нового пользователя MOVEit Transfer со случайным именем и логином Health Check Service, создавая новые сеансы MySQL;
• получать информацию об учетной записи Azure Blob Storage, включая параметры AzureBlobStorageAccount, AzureBlobKey и AzureBlobContainer;
• скачивать файлы с сервера.

По информации Huntress, с атаками связаны следующие IP-адреса:

• 138.197.152[.]201
• 209.97.137[.]33
• 5.252.191[.]0/24
• 148.113.152[.]144
• 89.39.105.108

Издание Bleeping Computer и специалисты Mandiant отмечают, что мотивы атакующих пока неясны, но предполагается, что атаки могут быть связаны с вымогательством, поэтому пострадавшим рекомендуют приготовиться к возможным попыткам шантажа и публикации украденных данных.