Die Sicherheitslücken in MOVEit Transfer werden mindestens seit dem 27. Mai aktiv ausgenutzt. Mehr als 100 Unternehmen sind Opfer geworden, obwohl Progress Software bereits Patches für die drei bisher aufgetauchten Schwachstellen zur Verfügung gestellt hat. Bei allen drei Schwachstellen handelt es sich um SQL-Injection-Schwachstellen, die eine Ausweitung der Berechtigungen und den Zugriff auf Einträge in der Datenbank der File-Transfer-Software ermöglichen.
Angreifer können jede dieser Schwachstellen ausnutzen, indem sie eine manipulierte SQL-Abfrage an eine MOVEit-Anwendung senden. Diese Abfrage ermöglicht den Zugriff auf die Datenbank und die Möglichkeit, Daten zu stehlen, zu ändern oder zu löschen. Alle Versionen von MOVEit Transfer sind anfällig.
"Wenn Sie ein MOVEit Transfer-Kunde sind, ist es äußerst wichtig, dass Sie sofort die unten aufgeführten Maßnahmen ergreifen, um Ihre MOVEit Transfer-Umgebung zu schützen", so Progress Software in seinem Hinweis. Mit der Verfügbarkeit von Proof-of-Concept-Exploits in freier Wildbahn wächst die Zahl der anfälligen Organisationen, die noch keine Patches installiert haben, rapide an. Als, wenn auch vorübergehende, Abhilfe empfiehlt Progress Software, den gesamten HTTP- und HTTPs-Datenverkehr zu MOVEit Transfer-Umgebungen zu deaktivieren. Als Vorsichtsmaßnahme hat das Unternehmen auch seine MOVEit Cloud am 15. Juni offline genommen.
"MOVEit Cloud für Wartungsarbeiten offline zu nehmen, war eine defensive Maßnahme zum Schutz unserer Kunden und erfolgte nicht als Reaktion auf bösartige Aktivitäten. Da die neue Sicherheitslücke, über die wir am 15. Juni berichteten, öffentlich im Internet veröffentlicht worden war, war es wichtig, dass wir aus reiner Vorsicht sofort handeln, um die Sicherheitslücke schnell zu schließen und MOVEit Cloud zu deaktivieren", schrieb das Unternehmen in einem Blog.
"Unsere Produktteams und Drittanbieter-Forensikpartner haben die Schwachstelle und den zugehörigen Patch geprüft und sind zu dem Schluss gekommen, dass das Problem behoben wurde", so das Unternehmen weiter. "Dieser Fix wurde auf alle MOVEit Cloud-Cluster angewendet und ist für MOVEit Transfer-Kunden verfügbar.
Die Cybersecurity Infrastructure Security Agency (CISA) hat diese öffentlichen Sicherheitslücken mit einer mit Russland verbundenen Gruppe namens CLOP. CLOP ist ein produktiver Bedrohungsakteur, der sich auf Datendiebstahl, Erpressung und Ransomware gegen Ziele in zahlreichen Branchen spezialisiert hat, darunter Finanzdienstleistungen und Regierungsbehörden. Nachrichtenberichten zufolge sind mehr als 100 Organisationen Opfer von Angriffen auf diese Sicherheitslücken geworden, die meisten davon in den Vereinigten Staaten, darunter Regierungsstellen und -behörden, Fluggesellschaften, Bildungseinrichtungen und Kommunikationsunternehmen.
Hier ist, was wir über diese Schwachstellen wissen:
CVE-2023-34362
CWE-89: Unsachgemäße Neutralisierung von speziellen Elementen in SQL-Befehlen (SQL-Injection)
CVSS v3: 9.8
Offengelegt: 31. Mai
Diese Schwachstelle betrifft MOVEit Transfer Versionen vor 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5) und 2023.0.1 (15.0.1). Die Sicherheitslücke betrifft die MOVEit Transfer-Webanwendung und ermöglicht unbefugten Zugriff auf die Datenbank der Anwendung, wodurch alle gespeicherten Daten gefährdet sind. Darüber hinaus kann ein Angreifer laut Progress Software je nach verwendeter Datenbank-Engine in der Lage sein, manipulierte SQL-Anweisungen auf anfälligen Anwendungen auszuführen, die Elemente ändern oder löschen können. CVE-2023-34362 wurde auch in die CISA's Known Exploited Vulnerabilities Katalog hinzugefügt
CVE-2023-35036
CWE-89: Unsachgemäße Neutralisierung von speziellen Elementen in SQL-Befehlen (SQL-Injection)
CVSS v3: 9.1
Offengelegt: 11. Juni
Es gibt keine Berichte über öffentliche Exploits für dieses CVE. Ähnlich wie die beiden anderen MOVEit-Schwachstellen betrifft sie jedoch alle Versionen der Software und ermöglicht unbefugten Benutzern den Zugriff auf die Datenbank und die Verwendung von manipulierten Nutzdaten zur Änderung und Offenlegung von Datenbankinhalten.
CVE-2023-35708
CWE-89: Unsachgemäße Neutralisierung von speziellen Elementen in SQL-Befehlen (SQL-Injection)
CVSS v3: 9.8
Offengelegt: 16. Juni
Bei dieser CVE, die letzte Woche veröffentlicht wurde, handelt es sich wie bei den anderen beiden um eine SQL-Injektion, die dazu verwendet werden kann, Daten aus der MOVEit Transfer-Datenbank zu stehlen oder zu manipulieren. Alle Versionen sind betroffen; Progress Software sagte, dass ihr kein öffentlich verfügbarer Exploit-Code bekannt ist, der auf diese Sicherheitslücke abzielt.
Verwaltung von MOVEit-Schwachstellen mit Claroty Lösungen
Claroty hilft unseren Anwendern bei der Bewältigung von Schwachstellen wie diesen durch eine Vielzahl von Mitteln in unseren Lösungen. Im Besonderen:
Claroty xDome und die Medigate-Plattform
ClarotyDie SaaS-Lösungen von MOVEit ermöglichen es den Anwendern, die mit den MOVEit-Schwachstellen verbundenen Risiken zu erkennen, zu bewerten und zu mindern. Zu den Besonderheiten gehören:
Identifizierung der MOVEit-Schwachstellen: Die genaue Identifizierung der Progress MOVEit Transfer-Schwachstellen erfordert einen Einblick in die auf den einzelnen Anlagen installierten Anwendungen. Diese Art von Informationen ist im Allgemeinen nicht verfügbar, wenn zur Erstellung von Asset-Profilen nur eine passive Asset-Ermittlungsmethode verwendet wird. Durch den Einsatz alternativer Erkennungsmethoden, wie z. B. sichere Abfragen oder Claroty Edge, können die Benutzer die auf den Netzwerkgeräten installierten Anwendungen und die entsprechenden Schwachstellen identifizieren. Die MOVEit-Schwachstellen können auch über Integrationen mit Patch-Management-, Schwachstellen-Orchestrierungs- und EDR-Tools ermittelt werden. Wenn diese Schwachstellen auf einem der oben genannten Wege entdeckt werden, erscheinen sie auf der Schwachstellenseite der Plattform mit einer angepassten Risikobewertung, den zugehörigen Geräten, der Prioritätsgruppe und mehr.
Überwachung auf Exploits: Die SaaS-Lösungen von Clarotyüberwachen die Asset-Kommunikation kontinuierlich auf Verbindungen zu bekanntermaßen riskanten IP-Adressen oder anomale Aktivitäten, die auf beobachteten Verhaltensweisen basieren. Jede potenziell bösartige Aktivität - wie z. B. Versuche, MOVEit-Schwachstellen auszunutzen - führt zu Warnmeldungen, die dem MITRE ATT&CK-Framework zugeordnet werden und Sicherheitsteams mit weiterem Kontext und Empfehlungen zur Schadensbegrenzung versorgen, die sich an gängigen Taktiken und Techniken orientieren.
Schutz vor Exploits: Claroty xDome und die Medigate-Plattform bieten empfohlene Kommunikationsrichtlinien für alle Geräte in der Umgebung eines Kunden. Diese Richtlinien können automatisch konfiguriert, exportiert und durch eine integrierte NAC- oder Firewall-Lösung durchgesetzt werden, um vor Versuchen, anfällige Geräte auszunutzen, zu schützen und diese einzudämmen. Warnungen über Richtlinienverstöße oder Kommunikation mit bekanntermaßen riskanten IP-Adressen können an eine integrierte SIEM-Lösung gesendet werden, damit Sicherheitsteams sie in bestehende Arbeitsabläufe einbinden können.
Claroty Kontinuierliche Erkennung von Bedrohungen (CTD)
Identifizierung der MOVEit-Schwachstelle: Genau wie bei Claroty xDome und Medigate sind die sicheren Abfragen von CTD und Claroty Edge-Sammelmethoden in der Lage, die installierten Anwendungen eines Assets zu identifizieren und können so aufzeigen, ob auf einem Asset eine verwundbare Version der MOVEit Transfer Software läuft. Darüber hinaus enthält CTD mehrere YARA-Regeln speziell für die Progress MOVEit Transfer-Schwachstelle, die es ermöglichen, diese durch passive Überwachung der Anlagenkommunikation zu entdecken.
Überwachung auf Exploits: Claroty CTD überwacht den Asset-Verkehr kontinuierlich auf bekannte Signaturen, einschließlich derjenigen, die mit den MOVEit Transfer YARA-Regeln verbunden sind, sowie auf Verhaltensanomalien, die auf potenzielle Ausnutzungsversuche hinweisen. Jede Abweichung von der Verhaltens-Baseline einer Anlage führt zu einer Warnung mit Informationen über die Ereigniskette, die dazu geführt hat, die zugehörigen Anlagen und die Zuordnung zum MITRE ATT&CK for ICS-Framework, um die Sicherheitsteams bei ihrer Untersuchung und Reaktion zu unterstützen.
Schutz vor Exploits: Die CTD-Funktion "Virtuelle Zonen" kann zur Erstellung und Durchsetzung von Netzwerksegmentierungsrichtlinien verwendet werden, um die Umgebung gegen Ausbeutungsversuche zu schützen. Kommunikationsverletzungen und bekannte Signaturwarnungen, die von CTD erkannt werden, können automatisch an ein integriertes SIEM- oder SOAR-System gesendet und in bestehende Reaktionsabläufe integriert werden.
Die Entdeckung der CVEs von Progress MOVEit Transfer ist ein weiterer Hinweis auf das anhaltende Wachstum von bösartigen Akteuren in unserer vernetzten Welt. Während das volle Ausmaß der Progress MOVEit Transfer-Schwachstellen nicht bekannt ist, sind das Verständnis der Anzeichen von Risiken und die besten Praktiken, wie man sich dagegen schützen kann, von grundlegender Bedeutung für die Aufrechterhaltung einer cyber-resistenten Organisation. Wenn Sie bereits Kunde von Claroty sind und Fragen dazu haben, wie Ihre Lösung Sie vor Schwachstellen wie dieser schützt, wenden Sie sich bitte an Ihren Ansprechpartner unter Claroty .
