Editor Top
La Agencia de Seguridad de Infraestructura y Ciberseguridad ha emitido un alerta sobre el uso de una vulnerabilidad de día cero en el software MOVEit. Se ha observado la explotación de esta vulnerabilidad de inyección SQL de día cero, principalmente dirigida a América del Norte e incluyendo ataques del actor de amenazas de ransomware Lace Tempest.
MOVEit es un software de transferencia de archivos administrado de Progress (anteriormente Ipswitch), un proveedor de tecnologías de experiencia digital y desarrollo de aplicaciones. Según el sitio de MOVEit, la aplicación está siendo utilizada por miles de organizaciones en todo el mundo.
Salta a:
¿Qué es la vulnerabilidad de transferencia de MOVEit de día cero?
Esta vulnerabilidad de transferencia de MOVEit de día cero, como la conocían los atacantes antes de ser parcheada, es una vulnerabilidad de inyección SQL, CVE-2023-34362. Afecta a todas las versiones de MOVEit Transfer según su empresa de desarrollo Progress; no afecta a MOVEit Automation, MOVEit Client, MOVEit Add-in for Microsoft Outlook, MOVEit Mobile, WS_FTP Client, WS_FTP Server, MOVEit EZ, MOVEit Gateway, MOVEit Analytics y MOVEit Freely.
Esta vulnerabilidad de día cero permite que un atacante no autenticado obtenga acceso a la base de datos de MOVEit Transfer, lo que posiblemente le permita ejecutar instrucciones SQL que alteren o eliminen los elementos de la base de datos.
VER: Ataques de inyección SQL: lo que los profesionales de TI deben saber (TechRepublic Premium)
Explotación en la naturaleza, particularmente en América del Norte
A publicación de blog de Rapid7 indica que esta empresa de ciberseguridad ha observado la explotación de la vulnerabilidad de día cero CVE-2023-34362 en la naturaleza en múltiples entornos de clientes. Según Rapid7, una amplia gama de organizaciones se han visto afectadas.
La explotación activa de la vulnerabilidad por parte de los ciberdelincuentes comenzó al menos cuatro días antes de la publicación del aviso de seguridad de Progress.
VER: Exploits de día cero: lo que los profesionales de TI deben saber (TechRepublic)
Más de 2500 instancias de MOVEit Transfer están expuestas a Internet, y más de 1800 de esas instancias se encuentran en los EE. UU., según el motor de búsqueda Shodan (Figura A).
Figura A
Rapid7 observó el mismo nombre de webshell en varios entornos de clientes. En sistemas comprometidos, el webshell denominado human2.aspx se encuentra en la carpeta wwwroot de la carpeta de instalación de MOVEit. El nombre del archivo probablemente se eligió para pasar desapercibido, ya que un archivo legítimo llamado human.aspx es el archivo nativo utilizado por MOVEit Transfer para su interfaz web.
El acceso al webshell está protegido por una contraseña. Los intentos de conectarse a webshell sin la contraseña adecuada dan como resultado que el código malicioso proporcione un error 404 No encontrado.
El uso del mismo nombre en varios servidores podría indicar una explotación automatizada, según Rapid7. Parece que la focalización es más oportunista que altamente focalizada. El compromiso inicial podría conducir a la explotación de ransomware, ya que las soluciones de transferencia de archivos han sido objetivos populares para los atacantes, incluidos los actores de amenazas de ransomware.
Microsoft ha confirmado la explotación de esta vulnerabilidad a través de Twitter, atribuyendo los ataques que explotan la vulnerabilidad de día cero CVE-2023-34362 MOVEit Transfer a Lace Tempest, un actor de amenazas conocido por las operaciones de ransomware y que ejecuta el sitio de extorsión Clop. Este actor de amenazas explotó una vulnerabilidad en otro software de File Transfer Manager, GoAnywhere, a principios de este año.
Cómo detectar la explotación de amenazas
Los administradores del sistema deben verificar la presencia de un archivo human2.aspx en la carpeta wwwroot de su software MOVEit Transfer.
Los archivos de registro también deben revisarse desde al menos un mes completo antes. Las descargas/cargas inesperadas de archivos desde direcciones IP desconocidas deben revisarse cuidadosamente.
Los archivos de registro del servidor web deben revisarse en busca de eventos que incluyan una solicitud GET a un archivo human2.aspx, así como un gran número de entradas de registro o entradas con grandes tamaños de datos, lo que podría indicar descargas de archivos inesperadas.
Si corresponde, los archivos de registro de Azure deben revisarse para detectar accesos no autorizados a las claves de Azure Blob Storage.
Según Rapid7, también se puede identificar la exfiltración de datos. En el caso de que los administradores del software MOVEit Transfer habilitaran el registro, un archivo de eventos de Windows C:\Windows\System32\winevt\Logs\MOVEit.evtx proporciona mucha información, incluido el nombre del archivo, la ruta del archivo, el tamaño del archivo, la dirección IP y nombre de usuario que realiza la descarga. Si bien el registro no está habilitado de manera predeterminada, es común que los administradores lo habiliten después de la instalación. La exfiltración de datos se puede ver en ese archivo de registro de eventos.
Los registros de auditoría se almacenan en la base de datos de MOVEit y se pueden consultar directamente oa través de la funcionalidad de generación de informes integrada del software. Los administradores pueden usar esos registros para generar un informe de las acciones de descarga de archivos ejecutadas a través del software, lo que les permite ver la posible filtración de datos.
Cómo mitigar este riesgo
El proveedor de Progress recomienda encarecidamente aplicar inmediatamente el parche que lanzó.
Si no se aplica de inmediato, las organizaciones deben deshabilitar todo el tráfico HTTP y HTTPS al entorno de MOVEit Transfer para evitar que los atacantes se conecten a él. Si bien los usuarios legítimos ya no podrán conectarse, los protocolos SFTP y FTP seguirán funcionando como de costumbre, y los administradores aún podrán conectarse a través del Protocolo de escritorio remoto.
Si se encuentra el archivo human2.aspx o cualquier secuencia de comandos .cmdline sospechosa, debe eliminarse. Cualquier archivo recién creado o desconocido en la carpeta MOVEit debe analizarse de cerca; además, se deben examinar los archivos .cmdline en cualquier carpeta temporal de Windows.
Cualquier cuenta de usuario no autorizada debe ser eliminada.
Una vez que se realiza el parche o el bloqueo de HTTP y HTTPS, los administradores deben ejecutar las detecciones como se mencionó anteriormente y buscar cuidadosamente las indicaciones de compromiso. Si se encuentran pruebas, se deben restablecer las credenciales de la cuenta de servicio.
Se debe aplicar un monitoreo continuo para cualquiera de los Indicadores de Compromisos proporcionados por el Progreso.
Mejores prácticas de seguridad adicionales
Si bien no es específico de la vulnerabilidad CVE-2023-34362, Progress indica que los administradores deben permitir la autenticación multifactor en MOVEit Transfer. Además, las políticas de acceso remoto deben actualizarse para permitir solo direcciones IP conocidas y confiables. Por último, las cuentas de usuario deben revisarse cuidadosamente para permitir que solo las cuentas autorizadas accedan al servicio.
Divulgación: trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.
