Το Exploit κυκλοφόρησε για το σφάλμα MOVEit RCE που χρησιμοποιείται σε επιθέσεις κλοπής δεδομένων

Οι ερευνητές ασφαλείας του Horizon3 κυκλοφόρησαν κώδικα εκμετάλλευσης απόδειξης της ιδέας (PoC) για ένα σφάλμα απομακρυσμένης εκτέλεσης κώδικα (RCE) στη λύση διαχειριζόμενης μεταφοράς αρχείων MOVEit Transfer (MFT) που καταχράται η συμμορία

ransomware

Clop σε επιθέσεις κλοπής δεδομένων.

Αυτό το κρίσιμο ελάττωμα (παρακολουθείται ως

CVE-2023-34362

) είναι μια ευπάθεια SQL injection που επιτρέπει σε μη επαληθευμένους εισβολείς να αποκτήσουν πρόσβαση σε μη επιδιορθωμένους διακομιστές MOVEit και να εκτελούν αυθαίρετο κώδικα εξ αποστάσεως.

Στις 31 Μαΐου, ημέρες αφότου η συμμορία ransomware Clop άρχισε να το εκμεταλλεύεται σε μεγάλη κλίμακα ως zero-day, η Progress κυκλοφόρησε ενημερώσεις ασφαλείας για να διορθώσει το σφάλμα και συμβούλεψε όλους τους πελάτες να τις εφαρμόσουν αμέσως για να αποκλείσουν τις προσπάθειες εκμετάλλευσης.

Το Horizon3 δημοσίευσε ένα proof-of-concept (PoC) εκμετάλλευση και τεχνική ανάλυση της ευπάθειας

την Παρασκευή

καθώς και μια λίστα δεικτών συμβιβασμού (IOC) που θα μπορούσαν να χρησιμοποιήσουν οι υπερασπιστές δικτύου για να ανιχνεύσουν την εκμετάλλευση σε ευάλωτους διακομιστές.

“Αυτό το POC κάνει κατάχρηση μιας ένεσης SQL για να αποκτήσει ένα διακριτικό πρόσβασης API sysadmin και στη συνέχεια να χρησιμοποιήσει αυτήν την πρόσβαση για κατάχρηση μιας κλήσης αποσυναρμολόγησης για να αποκτήσει απομακρυσμένη εκτέλεση κώδικα”, οι ερευνητές του Horizon3

εξηγώ

.

“Αυτό το POC πρέπει να απευθυνθεί σε ένα τελικό σημείο παροχής ταυτότητας που φιλοξενεί κατάλληλα πιστοποιητικά RS256 που χρησιμοποιούνται για τη δημιουργία αυθαίρετων διακριτικών χρηστών – από προεπιλογή αυτό το POC χρησιμοποιεί το τελικό σημείο IDP που φιλοξενείται στο AWS.”

Με την κυκλοφορία αυτού του RCE PoC exploit, περισσότεροι παράγοντες απειλών πιθανότατα θα κινηθούν γρήγορα για να το αναπτύξουν σε επιθέσεις ή να δημιουργήσουν τις δικές τους προσαρμοσμένες εκδόσεις για να στοχεύσουν τυχόν μη επιδιορθωμένους διακομιστές που παραμένουν εκτεθειμένοι στην πρόσβαση στο Διαδίκτυο.

Ωστόσο, δεδομένης της ευρείας κάλυψης από τα μέσα ενημέρωσης των επιθέσεων που εκμεταλλεύονται την ευπάθεια, αναμένεται ότι ο αριθμός των μη ασφαλών διακομιστών MOVEit Transfer στο διαδίκτυο έχει μειωθεί απότομα από τότε που ο Clop άρχισε να εκμεταλλεύεται το σφάλμα.

Zero-day στα χέρια του Clop από το 2021

Η συμμορία ransomware Clop ανέλαβε την ευθύνη για τις επιθέσεις κλοπής δεδομένων που εκμεταλλεύονται το CVE-2023-34362 MOVEit Transfer zero-day σε ένα μήνυμα που εστάλη στο Bleepingomputer, επιθέσεις που φέρεται να επηρέασαν «εκατοντάδες εταιρείες».

Ο Clop συνδέθηκε επίσης με τις επιθέσεις της

Microsoft

, η οποία απέδωσε αυτήν την εκστρατεία κλοπής δεδομένων στην ομάδα

hacking

Lace Tempest, η οποία επικαλύπτεται με τη δραστηριότητα FIN11 και TA505.

Σύμφωνα με μια αναφορά της Kroll, τα στοιχεία δείχνουν ότι ο Clop αναζητά ενεργά ευκαιρίες για να εκμεταλλευτεί την ευπάθεια μηδενικής ημέρας του MOVEit που έχει επιδιορθωθεί από το 2021. Επίσης, αναζητούν μεθόδους εξαγωγής δεδομένων από παραβιασμένους διακομιστές MOVEit τουλάχιστον από τον Απρίλιο του 2022.

Ο κατάλογος των οργανισμών που έχουν αποκαλύψει παραβιάσεις δεδομένων μετά από αυτές τις επιθέσεις περιλαμβάνει, μεταξύ άλλων, τη βρετανική πολυεθνική EY, την ιρλανδική

Στέλεχος Υπηρεσιών Υγείας (HSE)

δημόσιο σύστημα υγειονομικής περίθαλψης, πάροχος λύσεων μισθοδοσίας και ανθρώπινου δυναμικού με έδρα το Ηνωμένο Βασίλειο

Ζέλλης

και ορισμένοι από τους πελάτες της (δηλαδή, η βρετανική εταιρεία σημαίας British Airways, η ιρλανδική εταιρεία σημαίας Aer Lingus και το Υπουργείο Παιδείας της Μινεσότα).

Γνωστή για την ιστορία της ενορχήστρωσης εκστρατειών κλοπής δεδομένων, αυτή η ομάδα εγκλήματος στον κυβερνοχώρο έχει στοχεύσει ευπάθειες σε πολλαπλές πλατφόρμες μεταφοράς αρχείων διαχειριζόμενων τα τελευταία χρόνια.

Αξιοσημείωτες περιπτώσεις περιλαμβάνουν την παραβίαση μηδενικής ημέρας των διακομιστών Accellion FTA τον Δεκέμβριο του 2020, τις επιθέσεις 2021 SolarWinds Serv-U Managed File Transfer και την εκμετάλλευση ενός GoAnywhere MFT zero-day σε εκτεταμένες επιθέσεις τον Ιανουάριο του 2023.

Την Παρασκευή, η Progress επιδιορθώθηκε και προειδοποίησε τους πελάτες για τα πρόσφατα κρίσιμα τρωτά σημεία ένεσης SQL που βρέθηκαν στο MOVEit Transfer, δίνοντας τη δυνατότητα στους εισβολείς χωρίς έλεγχο ταυτότητας να κλέψουν πληροφορίες από τις βάσεις δεδομένων των πελατών.