美國網絡安全和基礎設施安全局(CISA)承認,它正在向幾個聯邦機構提供支持,這些機構在Progress(前身為IpSwitch)MOVEit Transfer解決方案中暴露出漏洞後被攻破。根據CISA發佈的一份警報和網絡安全公告,CL0P勒索軟件團夥一直在積極利用漏洞進行數據外泄,並在目標計算機上執行遠程命令。
MIVEit Transfer是什麼?
Progress security於2023年5月31日首次披露,確認瞭三個關鍵漏洞(CVE-2023-34362、CVE-2023-35036、CVE-2023-35708),這些漏洞可使威脅行為者獲得升級的特權和對環境的未授權訪問。在他們的建議中,進度描述瞭所有MOVEit客戶應該部署的立即步驟,以修復該漏洞。CISA的一項技術分析顯示,CL0P小組於2023年5月開始利用SQL註入漏洞,在MOVEit服務器上安裝名為LEMURLOOT的Web shell,刪除名稱為‘human2.aspx’,後來更名為‘human.aspx’(VirusTotal)。WebShell是專門針對MOVEit平臺設計的,它是一個工具包,包括多種操作功能,包括下載文件,以及執行和操作Azure系統設置,包括創建管理員用戶。該漏洞的影響是廣泛的。MOVEit Transfer是一種流行的目標管理文件傳輸(MFT)解決方案,主要在美國的數千傢企業中使用,包括政府機構、銀行、軟件供應商和其他組織。包括殼牌、佐治亞州大學系統、英國廣播公司和英國航空公司在內的受害者開始收到贖金紙條,以防止公佈泄露的數據。
目標管理文件傳輸(MFT)解決方案
管理文件傳輸解決方案和安全MFT (sMFT)用於保護和自動化跨組織和組織之間的數據和文件傳輸。這些解決方案通常由大型組織部署,以實現敏感信息的安全共享,通常將面向公眾的接口與存儲在內部和敏感網絡中的內容連接起來。俄羅斯的CL0P (Clop)黑客組織(TA505)據稱利用瞭其他MFT解決方案中的漏洞,包括Acellion在2020年和2021年推出的FTA,以及Fortra在2023年早些時候推出的GoAnywhere MFT解決方案(CVE-2023-0669)。MFT解決方案是威脅行為者的誘人目標。破壞它們可以讓我們獲得本應由解決方案保護的信息;實現對目標機器的控制,可以訪問受保護的受害者網絡。這使得像CL0P這樣的威脅行為者可以采用“雙重勒索”戰術,允許數據竊取和勒索軟件使用所實現的控制在目標機器上執行。被利用的漏洞可以作為威脅參與者執行攻擊後期階段的入口。一旦初始階段完成,攻擊者就會建立C2通信,允許他們丟棄有效載荷以執行後續階段。在之前的事件中,人們觀察到CL0P使用瞭Truebot,該機器人隨後下載瞭Cobalt Strike和FlawedGrace信標。
MOVEit Transfer攻擊階段。修改自: Forescout (https://www.forescout.com/wp-content/uploads/2023/06/CVE-2023-34362.png)
雖然攻擊的初始階段利用新的漏洞,但下一階段使用規避和內存技術丟棄惡意有效載荷,以繞過駐留端點保護解決方案的檢測。
建議采取的行動
立即的緩解措施包括應用安全補丁並遵循Progress (MOVEit)發佈的說明,以及更新CISA發佈的IOC。
MOVEit推薦(來源:http://Progress.com)
查看進度安全中心頁面,更新MOVEitTransfer和MOVEit雲漏洞。直到應用安全補丁(es) -禁用所有HTTP和HTTPs流量到您的MOVEit傳輸環境,具體如下: 修改防火墻規則,拒絕HTTP和HTTPs流量到MOVEit傳輸 端口80和443。查看MOVEit和系統審計日志,查看意外行為,刪除未經授權的文件(human2.aspx’,’human.aspx’)並移除未經授權的用戶賬戶,詳情請見http://Forescout.com應用推薦的安全補丁,恢復HTTP/HTTPs流量。
受影響的版本 | 修復版本 |
MOVEit Transfer 2023.0.x (15.0.x) | MOVEit Transfer 2023.03 (15.0.3) |
MOVEit Transfer 2022.1.x (14.1.x) | MOVEit Transfer 2022.1.7 (14.1.7) |
MOVEit Transfer 2022.0.x (14.0.x) | MOVEit Transfer 2022.0.6 (14.0.6) |
MOVEit Transfer 2021.1.x (13.1.x) | MOVEit Transfer 2021.1.6 (13.1.6) |
MOVEit Transfer 2021.0.x (13.0.x) | MOVEit Transfer 2021.0.8 (13.0.8) |
MOVEit Transfer 2020.1.x (12.1) | Must update to at least 2020.1.6 then apply DLL Drop-ins above |
MOVEit Transfer 2020.0.x (12.0) or older | MUST upgrade to a supported version |
MOVEit Cloud | Prod: 14.1.6.97 or 14.0.5.45 Test: 15.0.2.39 |
虹科摩菲斯如何有效防禦MOVEit Transfer?
虹科摩菲斯的產品具有以下功能,可幫助防范潛在的攻擊和惡意負載:
1、漏洞可見性和優先級
虹科摩菲斯的漏洞可見性和優先級可提供基於風險和使用情況的漏洞優先級。在這種情況下,虹科摩菲斯幫助識別使用具有已知漏洞的應用程序的組織,並根據實際使用情況和基於已知漏洞利用的信息來確定風險的優先級。這使組織能夠迅速采取行動,應用關鍵安全補丁。
2、使用規避和內存技術防止惡意有效載荷
在諸如MOVEit利用等攻擊的情況下,組織必須保護自己免受後期階段的攻擊,以及能夠逃避基於檢測的技術提供的保護機制的攻擊。自動移動目標防禦(AMTD)是必要的縱深防禦層,因為它可以在不事先知道的情況下阻止威脅,也不需要依賴簽名、IOC和行為模式。
使用漏洞優先級和防止規避惡意軟件來緩解MOVEit攻擊階段。
默認情況下,虹科摩菲斯保護在IIS Web服務器下運行的IIS Web服務和MOVEit DMZ組件。如果WebShell執行導致後門(如CobaltStrike、Metasploit)訪問系統,虹科摩菲斯的AMTD將提供保護,因為這些後門框架完全無文件,並采用旨在繞過端點保護解決方案檢測的規避技術。虹科摩菲斯專註於通過利用AMTD技術的真正預防能力,在攻擊鏈的早期禁用該框架。
實例:虹科摩菲斯阻止瞭以下相關攻擊:
代碼和內存開發技術是最常見的十種MITRE ATT&CK技術之一。AMTD通過變形內存和其他系統資源來降低這種風險,使它們基本上對針對它們的威脅不可見。作為深度防禦安全態勢的一層,AMTD可阻止零日、無文件和內存中的攻擊,為終端、服務器和工作負載保護提供真正的深度防禦,對性能的影響微乎其微,不需要額外的人員編制。該產品方案受到5,000多傢公司的信任,每天可阻止針對Windows和Linux設備上900多萬個受保護終端、服務器和工作負載的30,000多次攻擊。要瞭解更多關於這項技術的信息以及為什麼Gartner將AMTD稱為“網絡的未來”,請閱讀我們的白皮書“零信任+移動目標防禦:終極勒索軟件戰略”。