As vulnerabilidades do MOVEit Transfer têm sido exploradas ativamente desde, pelo menos, 27 de maio. Mais de 100 organizações foram vítimas, apesar da disponibilidade de patches da Progress Software para as três falhas que surgiram até agora. Todas as três são vulnerabilidades de injeção de SQL que permitem o aumento de privilégios e o acesso a entradas no banco de dados do software de transferência de arquivos.
Os invasores podem aproveitar qualquer uma dessas vulnerabilidades enviando uma consulta SQL criada para um aplicativo MOVEit. Essa consulta permite o acesso ao banco de dados e a capacidade de roubar, modificar ou excluir dados. Todas as versões do MOVEit Transfer são vulneráveis.
"Se você é um cliente do MOVEit Transfer, é extremamente importante que tome medidas imediatas, conforme indicado abaixo, para ajudar a proteger seu ambiente MOVEit Transfer", disse a Progress Software em seu comunicado. Com a disponibilidade de explorações de prova de conceito na natureza, a exposição de organizações vulneráveis que ainda não foram corrigidas está se expandindo rapidamente. Como uma mitigação temporária, a Progress Software recomenda desativar todo o tráfego HTTP e HTTPs para os ambientes MOVEit Transfer. A empresa também colocou seu MOVEit Cloud off-line em 15 de junho como medida de precaução.
"Colocar o MOVEit Cloud off-line para manutenção foi uma medida defensiva para proteger nossos clientes e não foi feito em resposta a qualquer atividade maliciosa. Como a nova vulnerabilidade que relatamos em 15 de junho foi divulgada publicamente on-line, era importante que tomássemos medidas imediatas por precaução para corrigir rapidamente a vulnerabilidade e desativar o MOVEit Cloud", escreveu a empresa em um blog.
"Nossas equipes de produtos e parceiros forenses terceirizados analisaram a vulnerabilidade e a correção associada e consideraram que o problema foi resolvido", acrescentou a empresa. "Essa correção foi aplicada a todos os clusters do MOVEit Cloud e está disponível para os clientes do MOVEit Transfer."
A Cybersecurity Infrastructure Security Agency (CISA) vinculou essas explorações públicas a um grupo ligado à Rússia chamado CLOP. O CLOP é um prolífico agente de ameaças especializado em roubo de dados, extorsão e ransomware contra alvos em vários setores, incluindo serviços financeiros e agências governamentais. Relatórios de notícias dizem que mais de 100 organizações foram vítimas de explorações contra essas vulnerabilidades, a maioria delas nos Estados Unidos, incluindo escritórios e agências governamentais, companhias aéreas, instituições educacionais e empresas de comunicação.
Aqui está o que sabemos sobre essas falhas:
CVE-2023-34362
CWE-89: neutralização inadequada de elementos especiais usados no comando SQL (injeção de SQL)
CVSS v3: 9,8
Divulgado: 31 de maio
Essa falha afeta as versões do MOVEit Transfer anteriores a 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5) e 2023.0.1 (15.0.1). A vulnerabilidade afeta o aplicativo da Web MOVEit Transfer e permite o acesso não autorizado ao banco de dados do aplicativo, colocando em risco todos os dados armazenados. Além disso, dependendo do mecanismo de banco de dados em uso, disse a Progress Software, um invasor pode ser capaz de executar instruções SQL criadas em aplicativos vulneráveis que podem alterar ou excluir elementos. O CVE-2023-34362 também foi adicionado à Catálogo de Vulnerabilidades Exploradas Conhecidas da CISA
CVE-2023-35036
CWE-89: neutralização inadequada de elementos especiais usados no comando SQL (injeção de SQL)
CVSS v3: 9.1
Divulgado: 11 de junho
Não houve relatos de explorações públicas contra esse CVE. No entanto, da mesma forma que as outras duas falhas do MOVEit, ela afeta todas as versões do software e permite que usuários não autorizados acessem o banco de dados e usem cargas úteis criadas para alterar a modificação e a divulgação do conteúdo do banco de dados.
CVE-2023-35708
CWE-89: neutralização inadequada de elementos especiais usados no comando SQL (injeção de SQL)
CVSS v3: 9,8
Divulgado: 16 de junho
Publicado na semana passada, esse CVE, como os outros dois, é uma injeção de SQL que pode ser usada para roubar ou manipular dados do banco de dados do MOVEit Transfer. Todas as versões são afetadas; a Progress Software disse que não tem conhecimento de código de exploração disponível publicamente que vise a essa vulnerabilidade.
Gerenciando as vulnerabilidades do MOVEit com as soluções Claroty
Claroty ajuda nossos usuários a gerenciar vulnerabilidades como essas por meio de uma variedade de meios em nossas soluções. Especificamente:
Claroty xDome e a plataforma Medigate
Clarotypermitem que os usuários identifiquem, avaliem e reduzam os riscos associados às vulnerabilidades do MOVEit. Os detalhes específicos incluem:
Identificação das vulnerabilidades do MOVEit: a identificação precisa das vulnerabilidades do Progress MOVEit Transfer requer visibilidade dos aplicativos instalados em cada ativo. Esse tipo de informação geralmente não está disponível se apenas um método passivo de descoberta de ativos for usado para criar perfis de ativos. Ao empregar métodos alternativos de descoberta, como consultas seguras ou o Claroty Edge, os usuários podem identificar os aplicativos instalados nos dispositivos de rede e as vulnerabilidades correspondentes. As vulnerabilidades do MOVEit também podem ser descobertas por meio de integrações com ferramentas de gerenciamento de patches, orquestração de vulnerabilidades e EDR. Se descobertos por qualquer um dos meios acima, esses CVEs aparecerão na página Vulnerabilidade da plataforma com uma pontuação de risco ajustada, dispositivos associados, grupo de prioridade e muito mais.
Monitoramento de explorações: as soluções de SaaS do Clarotymonitoram continuamente as comunicações de ativos em busca de conexões com endereços IP sabidamente perigosos ou atividades anômalas com base nos comportamentos observados. Qualquer atividade potencialmente mal-intencionada, como tentativas de explorar as vulnerabilidades do MOVEit, resulta em alertas que são mapeados para a estrutura MITRE ATT&CK e fornecem às equipes de segurança mais contexto e recomendações de atenuação alinhadas com táticas e técnicas comuns.
Proteção contra explorações: Claroty xDome e a Medigate Platform fornecem políticas de comunicação recomendadas para todos os ativos no ambiente de um cliente. Essas políticas podem ser configuradas, exportadas e aplicadas automaticamente por meio de uma solução integrada de NAC ou Firewall para ajudar a proteger e conter tentativas de exploração de dispositivos vulneráveis. Os alertas de violação de políticas ou de comunicação com IPs de risco conhecido podem ser enviados a uma solução SIEM integrada para que as equipes de segurança os incorporem aos fluxos de trabalho existentes.
Claroty Detecção contínua de ameaças (CTD)
Identificação da vulnerabilidade do MOVEit: Assim como no Claroty xDome e no Medigate, as consultas seguras do CTD e os métodos de coleta do Claroty Edge são capazes de identificar os aplicativos instalados de cada ativo e, portanto, podem revelar se um ativo está executando uma versão vulnerável do software MOVEit Transfer. Além disso, o CTD inclui várias regras YARA especificamente para a vulnerabilidade do Progress MOVEit Transfer que permitem que ela seja descoberta por meio do monitoramento passivo das comunicações dos ativos.
Monitoramento de explorações: Claroty O CTD monitora continuamente o tráfego de ativos em busca de assinaturas conhecidas, incluindo aquelas associadas às regras do MOVEit Transfer YARA, bem como anomalias comportamentais indicativas de possíveis tentativas de exploração. Qualquer desvio da linha de base comportamental de um ativo resulta em um alerta que contém informações sobre a cadeia de eventos que levaram a isso, ativos associados e mapas para a estrutura MITRE ATT&CK for ICS para auxiliar as equipes de segurança em sua investigação e resposta.
Proteção contra explorações: O recurso Virtual Zones do CTD pode ser usado para criar e ativar a aplicação de políticas de segmentação de rede para ajudar a fortalecer o ambiente contra tentativas de exploração. As violações de comunicação e os alertas de assinatura conhecidos que são detectados pelo CTD podem ser enviados automaticamente para um sistema SIEM ou SOAR integrado e incorporados aos fluxos de trabalho de resposta existentes.
A descoberta do conjunto de CVEs do Progress MOVEit Transfer é outro lembrete do crescimento contínuo de agentes mal-intencionados em nosso mundo conectado. Embora a extensão total das vulnerabilidades do Progress MOVEit Transfer não seja conhecida, compreender os sinais de risco e as práticas recomendadas para se proteger contra eles é fundamental para manter uma organização ciber-resiliente. Se você já é cliente do Claroty e tem dúvidas sobre como sua solução o protege contra vulnerabilidades como essa, entre em contato com seu representante Claroty .
