무브잇 전송 취약점은 최소 5월 27일부터 활발하게 악용되고 있습니다. 지금까지 드러난 세 가지 결함에 대한 Progress Software의 패치가 제공되었음에도 불구하고 100개 이상의 조직이 피해를 입었습니다. 세 가지 모두 SQL 인젝션 취약점으로, 권한 상승과 파일 전송 소프트웨어 데이터베이스의 항목에 대한 액세스를 가능하게 합니다.
공격자는 조작된 SQL 쿼리를 MOVEit 애플리케이션에 전송하여 이러한 취약점을 활용할 수 있습니다. 이 쿼리를 통해 데이터베이스에 액세스하고 데이터를 훔치거나 수정 또는 삭제할 수 있습니다. 모든 버전의 MOVEit Transfer는 취약합니다.
프로그레스 소프트웨어는 "MOVEit Transfer 고객인 경우, MOVEit Transfer 환경을 보호하기 위해 아래 언급된 대로 즉각적인 조치를 취하는 것이 매우 중요합니다."라고 말했습니다. 권고. 개념 증명 익스플로잇이 야생에서 사용 가능해짐에 따라 아직 패치를 적용하지 않은 취약한 조직의 노출 범위가 빠르게 확대되고 있습니다. 일시적인 완화 조치이기는 하지만, Progress Software는 MOVEit Transfer 환경에 대한 모든 HTTP 및 HTTPs 트래픽을 비활성화할 것을 권장합니다. 또한 예방 조치로 6월 15일에 MOVEit Cloud를 오프라인 상태로 전환했습니다.
"유지보수를 위해 MOVEit Cloud를 오프라인 상태로 전환한 것은 고객을 보호하기 위한 방어적인 조치였으며 악의적인 활동에 대응하기 위한 조치가 아니었습니다. 6월 15일에 보고한 새로운 취약점이 온라인에 공개적으로 게시되었기 때문에 취약점을 신속하게 패치하고 MOVEit Cloud를 비활성화하는 것이 중요했기 때문에 즉각적인 조치를 취하는 것이 중요했습니다."라고 회사에서 블로그에 썼습니다. 블로그.
"저희 제품 팀과 타사 포렌식 파트너가 취약점과 관련 패치를 검토한 결과 문제가 해결된 것으로 판단했습니다."라고 회사는 덧붙였습니다. "이 수정 사항은 모든 MOVEit 클라우드 클러스터에 적용되었으며 MOVEit Transfer 고객에게 제공됩니다."
사이버 보안 인프라 보안국(CISA)은 이러한 공개 익스플로잇을 러시아와 연계된 그룹인 CLOP. CLOP은 금융 서비스 및 정부 기관을 포함한 다양한 산업 분야의 표적에 대한 데이터 도난, 갈취 및 랜섬웨어를 전문으로 하는 위협 행위자입니다. 뉴스 보도에 따르면 이러한 취약점을 악용한 공격으로 100개 이상의 조직이 피해를 입었으며, 대부분 정부 기관 및 단체, 항공사, 교육 기관, 통신 회사 등 미국에 있는 조직이 피해를 입었다고 합니다.
CWE-89: SQL 명령에 사용되는 특수 요소의 부적절한 무력화(SQL 인젝션)
CVSS v3: 9.8
공개되었습니다: 공개: 5월 31일
이 결함은 2021.0.6(13.0.6), 2021.1.4(13.1.4), 2022.0.4(14.0.4), 2022.1.5(14.1.5), 2023.0.1(15.0.1) 이전의 MOVEit Transfer 버전에 영향을 미칩니다. 이 취약점은 MOVEit Transfer 웹 애플리케이션에 영향을 미치며, 앱의 데이터베이스에 무단으로 액세스할 수 있게 하여 저장된 모든 데이터를 위험에 빠뜨립니다. 또한 사용 중인 데이터베이스 엔진에 따라 공격자가 취약한 애플리케이션에서 조작된 SQL 문을 실행하여 요소를 변경하거나 삭제할 수 있다고 프로그레스 소프트웨어는 설명했습니다. CVE-2023-34362는 다음에도 추가되었습니다. CISA의 알려진 익스플로잇 취약점 카탈로그에 추가되었습니다.
CWE-89: SQL 명령에 사용되는 특수 요소의 부적절한 무력화(SQL 인젝션)
CVSS v3: 9.1
공개되었습니다: 공개: 6월 11일
이 CVE에 대한 공개 익스플로잇에 대한 보고는 아직 없습니다. 그러나 다른 두 가지 MOVEit 결함과 마찬가지로 모든 버전의 소프트웨어에 영향을 미치며, 권한이 없는 사용자가 데이터베이스에 액세스하고 조작된 페이로드를 사용하여 데이터베이스 콘텐츠의 수정 및 공개를 변경할 수 있게 해줍니다.
CWE-89: SQL 명령에 사용되는 특수 요소의 부적절한 무력화(SQL 인젝션)
CVSS v3: 9.8
공개되었습니다: 6월 16일
지난주에 발표된 이 CVE는 다른 두 가지와 마찬가지로 MOVEit Transfer 데이터베이스에서 데이터를 훔치거나 조작하는 데 사용할 수 있는 SQL 인젝션입니다. 모든 버전이 영향을 받지만, 프로그레스 소프트웨어는 이 취약점을 노리는 익스플로잇 코드가 공개적으로 사용 가능한지 알지 못한다고 밝혔습니다.
Claroty 는 솔루션 전반에서 다양한 방법을 통해 사용자가 이와 같은 취약점을 관리할 수 있도록 지원합니다. 구체적으로
Claroty xDome과 Medigate 플랫폼
Claroty의 SaaS 솔루션을 통해 사용자는 MOVEit 취약점과 관련된 위험을 식별, 평가 및 완화할 수 있습니다. 구체적인 내용은 다음과 같습니다:
MOVEit 취약점 식별: 진행 중인 MOVEit 전송 취약점을 정확하게 식별하려면 각 자산에 설치된 애플리케이션에 대한 가시성이 필요합니다. 수동적인 자산 검색 방법만 사용하여 자산 프로필을 생성하는 경우 일반적으로 이러한 유형의 정보를 사용할 수 없습니다. 세이프 쿼리 또는 Claroty Edge와 같은 대체 검색 방법을 사용하면 네트워크 장치에 설치된 애플리케이션과 해당 취약점을 식별할 수 있습니다. 또한 패치 관리, 취약점 오케스트레이션 및 EDR 도구와의 통합을 통해 MOVEit 취약점을 발견할 수 있습니다. 위의 방법 중 하나를 통해 발견된 CVE는 플랫폼의 취약성 페이지에 조정된 위험 점수, 관련 디바이스, 우선순위 그룹 등과 함께 표시됩니다.
익스플로잇 모니터링: Claroty의 SaaS 솔루션은 관찰된 행동을 기반으로 알려진 위험 IP 주소로의 연결 또는 비정상적인 활동에 대해 자산 통신을 지속적으로 모니터링합니다. MOVEit 취약점을 악용하려는 시도와 같이 잠재적으로 악의적인 활동은 MITRE ATT&CK 프레임워크에 매핑된 경고를 생성하고 보안 팀에 일반적인 전술 및 기법에 따른 추가 컨텍스트와 완화 권장 사항을 제공합니다.
익스플로잇으로부터 보호: Claroty xDome과 Medigate 플랫폼은 고객 환경 내의 모든 자산에 대해 권장 통신 정책을 제공합니다. 이러한 정책은 통합 NAC 또는 방화벽 솔루션을 통해 자동으로 구성, 내보내고 시행할 수 있어 취약한 디바이스를 악용하려는 시도를 방지하고 차단할 수 있습니다. 정책 위반 또는 알려진 위험 IP 알림이 포함된 통신은 보안 팀이 기존 워크플로에 통합할 수 있도록 통합 SIEM 솔루션으로 전송할 수 있습니다.
Claroty 지속적인 위협 탐지(CTD)
MOVEit 취약점 식별: Claroty xDome 및 Medigate와 마찬가지로, CTD의 안전한 쿼리와 Claroty Edge 수집 방법은 각 자산에 설치된 애플리케이션을 식별할 수 있으므로 자산이 취약한 버전의 MOVEit Transfer 소프트웨어를 실행하고 있는지 여부를 파악할 수 있습니다. 또한, CTD에는 자산 통신의 수동 모니터링을 통해 취약점을 발견할 수 있는 Progress MOVEit Transfer 취약점을 위한 여러 YARA 규칙이 포함되어 있습니다.
익스플로잇 모니터링: Claroty CTD는 잠재적인 익스플로잇 시도를 나타내는 행동 이상 징후뿐만 아니라 MOVEit Transfer YARA 규칙과 관련된 서명을 포함하여 알려진 시그니처에 대한 자산 트래픽을 지속적으로 모니터링합니다. 자산의 행동 기준선에서 벗어나는 경우, 해당 자산을 유발하는 일련의 이벤트, 관련 자산에 대한 정보, 보안팀의 조사 및 대응을 지원하기 위한 MITRE ATT&CK for ICS 프레임워크 맵이 포함된 알림이 생성됩니다.
익스플로잇으로부터 보호: CTD의 가상 영역 기능을 사용하여 네트워크 세분화 정책을 생성하고 시행하여 익스플로잇 시도로부터 환경을 강화할 수 있습니다. CTD에서 탐지한 통신 위반 및 알려진 시그니처 알림은 통합 SIEM 또는 SOAR 시스템으로 자동 전송되어 기존 대응 워크플로에 통합될 수 있습니다.
프로그레스 무브잇 트랜스퍼 취약점의 발견은 연결된 세상에서 악의적인 공격자들이 지속적으로 증가하고 있다는 사실을 다시 한 번 상기시켜 줍니다. 프로그레스 무브잇 트랜스퍼 취약점의 전체 범위는 알려지지 않았지만, 위험의 징후와 이를 방지하는 방법에 대한 모범 사례를 이해하는 것은 사이버 복원력을 갖춘 조직을 유지하기 위한 기본입니다. 기존 Claroty 고객으로서 솔루션이 이와 같은 취약점으로부터 사용자를 보호하는 방법에 대해 궁금한 점이 있는 경우 Claroty 담당자에게 문의하시기 바랍니다.
새로운 사이버 위협으로부터 비즈니스를 보호하는 방법
NotPetya: 6년 후를 돌아보며
