Το hack του MOVEit και τι μας δίδαξε για την ασφάλεια εφαρμογών

By

Marizas Dimitris

On

Αυγ 24, 2023

Όταν μια κυβερνοεπίθεση, όπως η εισβολή του MOVEit του

2023

, γίνεται πρωτοσέλιδο παγκοσμίως, η προσοχή εστιάζει συχνά στα ονόματα των οργανισμών που επηρεάζονται ή στον αριθμό των ατόμων που επηρεάζονται. Αν και αυτό το επίκεντρο είναι κατανοητό, η σωστή ανάλυση του τι συνέβη σε μια επίθεση όπως το MOVEit είναι χρήσιμη για την ανάπτυξη συγκεκριμένων βημάτων κυβερνοασφάλειας για την αποφυγή παρόμοιων περιστατικών από το να χτυπήσουν οργανισμούς.

Αυτό το άρθρο κάνει μια επισκόπηση της εισβολής του Moveit και στοχεύει να σχεδιάσει μερικά σημαντικά μέτρα για την επιχείρησή σας.

Τι ήταν το MOVEit Hack;

Στις 6 Ιουνίου 2023, η διαβόητη ομάδα ransomware Clop, συνδεδεμένη με τη Ρωσία, ανέλαβε την ευθύνη για μια επίθεση που είχε στόχο το εργαλείο μεταφοράς MOVEit της Progress Software.

Αυτή η εταιρική λύση κοινής χρήσης αρχείων έχει μια εκτενή βάση πελατών στις Ηνωμένες Πολιτείες. Οι οργανισμοί χρησιμοποιούν το MOVEit για ασφαλείς μεταφορές αρχείων. είναι ουσιαστικά μια πιο jazz-up, επαγγελματική έκδοση δημοφιλών εργαλείων κοινής χρήσης αρχείων όπως το Dropbox.

Τον Μάιο του 2023, οι κυβερνοεγκληματίες στο Clop αποκάλυψαν μια προηγουμένως άγνωστη ευπάθεια στο MOVEit, την οποία άρχισαν να εκμεταλλεύονται. Έως και 130 οργανισμοί υπέφεραν από επιπτώσεις κατάντη όταν η ευπάθεια στο MOVEit επέτρεψε στους χάκερ Clop να αποκτήσουν πρόσβαση στο περιβάλλον πληροφορικής τους και να κλέψουν ευαίσθητα δεδομένα.

Το hack MOVEit δεν ήταν το ίδιο με τις κλασικές επιθέσεις ransomware για τις οποίες ομάδες όπως ο Clop αρχικά κέρδισαν τη φήμη. Υπήρχαν ελάχιστες ενδείξεις ότι τα συστήματα ήταν κλειδωμένα και απρόσιτα από τους παράγοντες απειλών που εγκαθιστούσαν το αρχείο ransomware .clop.

Αντίθετα, αποδεικνύοντας περαιτέρω την αξία που δίνουν οι σημερινοί χάκερ στα δεδομένα, η επίθεση είδε προσωπικές πληροφορίες που ανήκαν σε περίπου 16 εκατομμύρια ανθρώπους να διακυβεύονται και να εξορύσσονται από συστήματα.

Υπάρχουν πολλοί τρόποι με τους οποίους οι χάκερ Clop θα μπορούσαν να χρησιμοποιήσουν αυτά τα δεδομένα ή να επωφεληθούν από αυτά. Το πιο προφανές είναι η τακτική εκβιασμού στην οποία έχουν στραφεί οι συμμορίες ransomware τα τελευταία χρόνια.

Αντί να κλειδώνουν τα συστήματα και να απαιτούν λύτρα, οι χάκερ κλέβουν ευαίσθητα δεδομένα και απειλούν να τα δημοσιεύσουν στο διαδίκτυο εάν οι εταιρείες δεν πληρώσουν. Θα μπορούσαν επίσης να πουλήσουν τα δεδομένα σε σκοτεινές αγορές σκοτεινού ιστού όπου άλλοι εγκληματίες του κυβερνοχώρου μπορούν να τα χρησιμοποιήσουν για απάτες και απάτες.

Πώς έγινε η επίθεση;

Η περαιτέρω εμβάθυνση στην επίθεση MOVEit αποκαλύπτει μερικές πρόσθετες χρήσιμες πληροφορίες σχετικά με τις τακτικές και τις αιτίες. Πρώτον, αυτή ήταν μια σαφής περίπτωση των αυξανόμενων κινδύνων ασφάλειας της αλυσίδας εφοδιασμού λογισμικού που αντιμετωπίζουν οι εταιρείες.

Πολλές επιχειρήσεις βασίζονται σε τρίτα μέρη για να παρέχουν χρήσιμο λογισμικό και κώδικα ως στοιχεία της αλυσίδας εφοδιασμού για τις δικές τους υπηρεσίες ή εφαρμογές, αλλά αυτή η εξάρτηση σημαίνει επίσης πιθανή πρόσβαση στα δεδομένα και άλλους πόρους στα δίκτυά τους μέσω τρωτών σημείων στην αλυσίδα εφοδιασμού λογισμικού.

Μια άλλη σημαντική πτυχή που πρέπει να λάβετε υπόψη είναι ότι η ευπάθεια που εκμεταλλεύτηκε ο Clop στο λογισμικό MOVEit ήταν μια ημέρα μηδέν. Οι συμμορίες του κυβερνοχώρου βραβεύουν αυτές τις ευπάθειες τόσο πολύ επειδή ο πωλητής δεν είχε χρόνο (μηδέν ημέρες) να τις διορθώσει.

Η αναδυόμενη ψηφιακή εγκληματολογική ανάλυση από τον απόηχο του MOVEit υποδηλώνει ότι οι χάκερ γνώριζαν για το ελάττωμα zero-day στο MOVEit ήδη από το 2021, όταν το δοκίμασαν κρυφά για να δουν πόση πρόσβαση θα μπορούσαν να έχουν.

Η ευπάθεια σχετιζόταν με την ένεση SQL. ένα κοινό σημείο εισόδου στις εφαρμογές. Αυτοί οι τύποι αδυναμιών κώδικα λογισμικού επιτρέπουν τον χειρισμό δεδομένων ή την πρόσβαση στη βάση δεδομένων. Το χακάρισμα MOVEit εξελίχθηκε από τη μη αυτόματη δοκιμή του ελαττώματος της ένεσης SQL στην εκμετάλλευση μεγάλου αριθμού οργανισμών με αυτό με αυτοματοποιημένο τρόπο.

Το πραγματικό hack λειτούργησε με την εκμετάλλευση της ευπάθειας SQL για την εγκατάσταση ενός backdoor στο MOVEit που διευκόλυνε τη λήψη δεδομένων από οργανισμούς που χρησιμοποιούν τη λύση μεταφοράς αρχείων. Στη συνέχεια, τα μέλη της συμμορίας Clop έθεσαν προθεσμία στις 14 Ιουνίου στις εταιρείες να πληρώσουν εάν ήθελαν να αποφύγουν την κλοπή προσωπικών πληροφοριών σχετικά με πελάτες ή υπαλλήλους που δημοσιεύονται στο διαδίκτυο.

Επιπτώσεις της επίθεσης MOVEit

Εκτός από τα εκατομμύρια των ανθρώπων που είχαν διακυβευτεί τα προσωπικά τους δεδομένα, πολλοί από τους οποίους ήταν υπάλληλοι στους επηρεαζόμενους οργανισμούς, κοιτάζοντας μερικές από τις εταιρείες που επλήγησαν από αυτό το περιστατικό στην αλυσίδα εφοδιασμού λέει πολλά για τις εκτεταμένες επιπτώσεις των σύγχρονων προηγμένων εκστρατειών κυβερνοεπιθέσεων.

Ζέλλης

Ένας δημοφιλής πάροχος μισθοδοσίας που χρησιμοποιείται από δεκάδες μεγάλες εταιρείες, το γεγονός ότι η Zellis παραβιάστηκε μέσω του ελαττώματος του MOVEit σήμαινε ότι αυτό το περιστατικό στην αλυσίδα εφοδιασμού εξαπλώθηκε σε ορισμένους από τους πελάτες της Zellis. Αυτό δείχνει τον κλιμακωτό αντίκτυπο των παραβιάσεων της αλυσίδας εφοδιασμού λογισμικού.

BBC

Τα ΜΜΕ του κόσμου σημείωσαν γρήγορα το χακάρισμα του MOVEit όταν αποκάλυψαν ότι ο κρατικός ραδιοτηλεοπτικός φορέας του Ηνωμένου Βασιλείου ήταν ένα από τα θύματα. Φαίνεται ότι το BBC ήταν ένας από τους οργανισμούς που υπέστησαν ταλαιπωρία λόγω του χτυπήματος της Zellis από την παραβίαση. Η εταιρεία φαρμακείων Boots και η αεροπορική εταιρεία British Airways επίσης χτυπήθηκαν.

Norton LifeLock

Φημισμένο για τη λύση προστασίας κλοπής ταυτότητας και τα εργαλεία προστασίας από ιούς, ήταν κάπως ειρωνικό το γεγονός ότι η Norton υπέφερε από απώλεια δεδομένων εξαιτίας αυτής της επίθεσης. Στη συνέχεια προέκυψαν δηλώσεις ότι τα δεδομένα των εργαζομένων είχαν κλαπεί από εσωτερικά συστήματα.

Συμβουλές για την πρόληψη παρόμοιων μελλοντικών συμβάντων

Χαρτογραφήστε την αλυσίδα εφοδιασμού σας

Χαρτογραφώντας την αλυσίδα εφοδιασμού λογισμικού, κατανοείτε καλύτερα από πού προέρχεται το λογισμικό σας, ποια στοιχεία χρησιμοποιούνται και ποιοι είναι οι προμηθευτές. Αυτή είναι μια παρόμοια έννοια με μια φυσική αλυσίδα εφοδιασμού. Το κοινό χαρακτηριστικό της βασισμένης σε έργα ανοιχτού κώδικα και βιβλιοθήκες, πλαίσια και εφαρμογές τρίτων, απαιτεί πλήρη διαφάνεια και προβολή. Αυτό σας επιτρέπει να εντοπίσετε και να κατανοήσετε πιθανά αδύναμα σημεία στην αλυσίδα (π.χ. έργα ανοιχτού κώδικα με λίγες ενημερώσεις) που θα μπορούσαν να εκμεταλλευτούν οι εισβολείς.

Ενίσχυση της διαχείρισης κινδύνου τρίτων

Μια στρατηγική βελτίωση στη στρατηγική διαχείρισης κινδύνου τρίτου μέρους (TPRM) αποκομίζει οφέλη για την ασφάλεια του δικτύου σας από επιθέσεις στην αλυσίδα εφοδιασμού. Εξετάστε το ενδεχόμενο να ενισχύσετε αυτό που ζητάτε από τα μέρη που συνεισφέρουν είτε κώδικα είτε εφαρμογές στη λειτουργία της επιχείρησής σας. Επιδεικνύετε μεγαλύτερη δέουσα επιμέλεια σε έργα ανοιχτού κώδικα, ζητήστε από τους προμηθευτές να συμμορφωθούν με τα πλαίσια ασφάλειας στον κυβερνοχώρο και ίσως απαιτήστε να δουν αποδεικτικά στοιχεία τουλάχιστον ενός ετήσιου τεστ στυλό προτού συμφωνήσετε ότι ένας τρίτος προμηθευτής λογισμικού έχει πρόσβαση στο περιβάλλον του δικτύου σας.

Προχωρήστε προς τη μηδενική εμπιστοσύνη

Η αρχιτεκτονική Zero Trust είναι ένα

μοντέλο

ασφαλείας που υπαγορεύει ότι κανένας χρήστης, σύστημα ή υπηρεσία που λειτουργεί εντός της ασφαλούς περιμέτρου ενός δικτύου δεν γίνεται αυτόματα αξιόπιστη. Αντίθετα, ο έλεγχος ταυτότητας πρέπει να ελέγχεται συνεχώς με βάση το πλαίσιο και τους παράγοντες κινδύνου. Αρκετές αρχές μηδενικής εμπιστοσύνης ενισχύουν την ανθεκτικότητα έναντι των hacks της εφοδιαστικής αλυσίδας:

Οι αρχιτεκτονικές Zero Trust εφαρμόζουν από προεπιλογή την πρόσβαση ελάχιστων προνομίων. Εάν ένας χάκερ καταφέρει να αποκτήσει πρόσβαση στο περιβάλλον σας μέσω ευάλωτου κώδικα ή εφαρμογών τρίτων, το μοντέλο πρόσβασης με τα λιγότερα προνόμια περιορίζει το τι μπορούν να κάνουν.
Ένα κρίσιμο μέρος του μοντέλου Zero Trust είναι η διαίρεση του δικτύου σας σε μικρότερα, απομονωμένα τμήματα (μικροτμήματα). Εάν ένας χάκερ εκμεταλλευτεί ένα ευάλωτο στοιχείο λογισμικού, πιθανότατα θα έχει πρόσβαση μόνο σε αυτό το συγκεκριμένο μικροτμήμα δικτύου.
Οι αρχιτεκτονικές Zero Trust απαιτούν συνεχή επαλήθευση ταυτοτήτων και αδειών. Οποιαδήποτε ασυνήθιστη συμπεριφορά, όπως προσπάθειες από εφαρμογές να αποκτήσουν πρόσβαση σε πόρους που συνήθως δεν χρειάζονται, μπορεί να ενεργοποιήσει συναγερμούς και αυτόματες προστατευτικές αποκρίσεις. Αυτό θα μπορούσε να περιέχει την ακτίνα έκρηξης μιας παραβίασης της αλυσίδας εφοδιασμού λογισμικού.

Αν και κανένα σύστημα δεν αποτρέπει πλήρως τις επιθέσεις στην αλυσίδα εφοδιασμού λογισμικού, η εφαρμογή της αρχιτεκτονικής μηδενικής εμπιστοσύνης μειώνει σημαντικά τον πιθανό αντίκτυπο των παραβιάσεων περιορίζοντας την πρόσβαση και τις δυνατότητες ενός εισβολέα.

Εφαρμογές δοκιμής στυλό

Αφού χτύπησε πάνω από 100 εταιρείες εκμεταλλευόμενος το ελάττωμα του zero-day, προέκυψαν περαιτέρω στοιχεία για διαφορετικές, άσχετες αδυναμίες στον κώδικα του MOVEI που άνοιξαν άλλα πιθανά μονοπάτια για εκμετάλλευση.

Ίσως το πιο σημαντικό πράγμα που παρέβλεψαν οι ομάδες πληροφορικής και ανάπτυξης του MOVEit για την πρόληψη αυτού του περιστατικού ήταν η αξία του

δοκιμή στυλό

τον κωδικό του. Σε μια δέσμευση δοκιμής στυλό, εξειδικευμένοι ηθικοί χάκερ αναζητούν και διερευνούν ακριβώς τον τύπο αδυναμιών της ένεσης SQL που εντόπισε και εκμεταλλεύτηκε ο Clop.

Επιλέξτε τη δοκιμή συνεχούς διείσδυσης

Οι σποραδικές ή σπάνιες δοκιμές διείσδυσης δεν θα επαρκούν για να προστατεύσετε το δίκτυο ή τις εφαρμογές σας από περιστατικά όπως το χακάρισμα του MOVEit.

Οι σύγχρονες πρακτικές ανάπτυξης όπως το DevOps απαιτούν την τακτική προσθήκη νέων λειτουργιών σε εφαρμογές, κάτι που θα μπορούσε να δημιουργήσει αδυναμίες ασφάλειας. Οι εγκληματίες του κυβερνοχώρου διερευνούν συνεχώς τις εφαρμογές Ιστού για να βρουν νέους τρόπους για να τις διεισδύσουν.

Οι οργανισμοί εκτελούν παραδοσιακά δοκιμές στυλό ως άσκηση σημείου-σε-χρόνου.

Το πρόβλημα είναι ότι η ταχύτητα αλλαγής τόσο στις εφαρμογές Ιστού όσο και στο τοπίο απειλών ξεπερνά γρήγορα τα αποτελέσματα αυτών των δοκιμών.

Επιπλέον

, οι οργανισμοί τείνουν να αντιμετωπίζουν τις δοκιμές με στυλό ως ένα πλαίσιο συμμόρφωσης για να σημειώσουν και όχι κάτι που κάνουν σε συνεχή βάση.

Η δοκιμή διείσδυσης ως υπηρεσία (PTaaS) απομακρύνει τις εταιρείες από το ξεπερασμένο μοντέλο δοκιμών προς έναν συνδυασμό αυτοματοποιημένης σάρωσης σε πραγματικό χρόνο και πιο τακτικών χειροκίνητων δοκιμών.

Το SWAT του Outpost24

είναι μια καινοτόμος λύση PTaaS διαθέσιμη μέσω μιας πύλης SaaS. Με το SWAT, έχετε συνεχή παρακολούθηση εφαρμογών ιστού που έχουν πρόσβαση στο

Διαδίκτυο

για ταχύτερο εντοπισμό και αποκατάσταση νέων ευπαθειών λογισμικού με μηδενικά ψευδή θετικά αποτελέσματα.

Παράλληλα με αυτή τη συνεχή αυτοματοποιημένη δοκιμή, η SWAT σας εξοπλίζει επίσης με μια ομάδα υψηλά ειδικευμένων και έμπειρων ελεγκτών στυλό για τη διεξαγωγή χειροκίνητων δοκιμών σε οποιαδήποτε προσαρμοσμένη συχνότητα ή με βάση οποιεσδήποτε άλλες ανάγκες.

Μια πολύπλευρη προσέγγιση

Η καταπολέμηση των προηγμένων εισβολών όπως η επίθεση MOVEit απαιτεί μια πολύπλευρη προσέγγιση και την ανάγκη να σκεφτείτε ορισμένα στοιχεία της στρατηγικής σας για την ασφάλεια στον κυβερνοχώρο.

Προχωρήστε προς τη μηδενική εμπιστοσύνη, προσπαθήστε να αποκτήσετε μεγαλύτερη ορατότητα στην αλυσίδα εφοδιασμού σας και επιλέξτε τη συνεχή δοκιμή πένας που εντοπίζει τα τρωτά σημεία του κώδικα πιο γρήγορα από τις παραδοσιακές μη αυτόματες προσεγγίσεις.

Η

πλατφόρμα

SWAT PTaaS του Outpost24 σάς βοηθά να βρείτε όλες τις πιθανές αδυναμίες σε ένα σύγχρονο οικοσύστημα εφαρμογών ιστού, από τον υποκείμενο κώδικα έως βιβλιοθήκες τρίτων έως ελαττώματα API.

Μάθετε περισσότερα εδώ.

Χορηγός και συγγραφή από

Φυλάκιο 24

bleepingcomputer.com

Παρόμοια άρθρα