ransomware

Взлом MOVEit и его последствия

Уроки взлома MOVEIt Transfer для тех, кто им не пользуется.

Stan Kaminsky
11 июля 2023

Если корпоративное приложение MOVEit Transfer вам незнакомо, инцидент с его взломом все равно стоит изучить хотя бы из-за масштаба последствий: пострадали сотни организаций, включая нефтяной гигант Shell, департамент образования Нью-Йорка, BBC, Boots, Aer Lingus, BA, несколько крупных учреждений здравоохранения в разных странах, Университет Джорджии, Heidelberger Druck и многие другие организации. Печальная ирония в том, что вектором атаки стало приложение для безопасной и управляемой передачи файлов для крупных организаций (Secure Managed File Transfer Software for the Enterprise) — так называет MOVEit Transfer его создатель, фирма ipswitch (вошла в состав компании Progress). MOVEit Transfer относится к системам управляемой передачи файлов (managed file transfer, MFT) и позволяет организовать обмен большими файлами между сотрудниками компании и внешними подрядчиками, используя для трансфера данных протоколы SFTP, SCP и HTTP. Она существует в виде облачного и on-premise-решения.

На примере этой серии инцидентов есть чему поучиться всем, кто несет ответственность за ИБ в организации.

Как ломали и чинили MOVEit Transfer

Мы не будем пересказывать все перипетии бурных для пользователей MOVEit полутора месяцев, а ограничимся основными вехами.

27 мая стало известно о подозрительной активности в сетях многих организаций, использующих MOVEit Transfer. Расследование показало, что злоумышленники использовали ранее неизвестную уязвимость для выполнения SQL-запросов к базе данных и воровства информации.

31 мая Progress выпустили первый бюллетень c рекомендациями по безопасности и исправлениями. Сначала компания считала, что пострадали только инсталляции on-premise, но впоследствии оказалось, что облачный вариант MOVEit тоже подвержен угрозе. В результате MOVEit Cloud временно отключили для накатывания патчей и расследования. Исследователи из Rapid7 насчитали в сети 2500 уязвимых серверов on-premise.

2 июня уязвимость получила идентификатор CVE-2023-34362 с почти предельным уровнем критичности (CVSS 9.8). Компании, расследующие инциденты, атрибутировали угрозу группировке вымогателей cl0p. Позднее, 9 июня, исследователи Kroll сообщили, что, вероятно, эксплуатацию MOVEit тестировали с 2021 года. В ходе расследований инцидентов стало очевидно, что цепочка атаки не обязательно завершается SQL-инъекцией и может включать запуск произвольного кода.

К чести Progress, они не ограничились фиксом, а инициировали аудит кода, в результате чего компания Huntress не только воспроизвела всю цепочку эксплуатации, но и обнаружила еще одну уязвимость. Она была исправлена 9 июня в следующем бюллетене и получила идентификатор CVE-2023-35036. Многие админы даже не успели установить патч, как в Progress сами обнаружили еще одну уязвимость (CVE-2023-35708) и выпустили для нее третий бюллетень 15 июня. Чтобы применить патчи, MOVEit Cloud снова отключили почти на 10 часов.

День 15 июня примечателен еще и тем, что вымогатели опубликовали на своем сайте утечек информацию о нескольких жертвах и начали переговоры о выкупе. Двумя днями позже власти США объявили о премии 10 млн долл. за информацию о группировке.

26 июня Progress анонсировала еще одно трехчасовое отключение MOVEit Cloud 2 июля, чтобы «улучшить безопасность серверов».

6 июля вышло ещё одно обновление, в котором устранены ещё три уязвимости, в том числе одна критическая (CVE-2023-36934, CVE-2023-36932, CVE-2023-36933).

Сервис передачи файлов — удобный вектор атаки

Атака через MOVEit Transfer, замеченная в конце мая, — далеко не первая угроза с использованием сервисов обмена файлами. До этого в январе была проведена похожая серия атак через сервисы Fortra GoAnywhere MFT, а в конце 2020 года хакеры массово эксплуатировали уязвимость в Accellion FTA.

Во многих кибератаках цель злоумышленников — получить привилегированный доступ к серверам или выполнить произвольный код. Здесь эти задачи тоже решались, но часто у хакеров цель была проще: короткая и «нестрашная» атака для несанкционированного доступа к базам данных сервиса передачи файлов. Она дает возможность стащить файлы организации, не углубляясь в систему и не привлекая лишнего внимания защитников. Ведь скачивание файлов, которые и так предназначены и собраны для скачивания, редко вызывает подозрения.

При этом в файловых хранилищах накапливается очень много действительно важной информации. Например, одна из жертв атаки через MOVEit Transfer признала, что «утекли» данные 45 000 студентов и школьников.

Для защитников это означает, что подобным приложениям и их настройке нужно уделять пристальное внимание, ограничивая административный доступ, принимая дополнительные меры защиты на уровне инфраструктуры и управления БД. Также в организации следует развивать «гигиену данных», например учить пользователей удалять объекты из системы обмена файлами сразу после того, как они перестали быть нужны и сужать круг лиц, имеющих доступ к чтению и скачиванию.

Фокус на серверы

Для кибератак с кражей данных серверы — крайне удобная мишень, поскольку за ними меньше следят, а данных на них содержится больше. Неудивительно, что, кроме массовой эксплуатации популярных серверных приложений наподобие атак ProxyShell и ProxyNotShell, злоумышленники изучают и менее хоженые дороги, осваивая шифрование ферм ESXi , баз данных Oracle и тестируя малоизвестные публике, но популярные в корпоративном мире сервисы наподобие MOVEit Transfer. Поэтому защитникам нужно уделять серверам повышенное внимание:

приоритизировать патчинг серверов;
использовать решение класса EDR;
ограничить привилегированный доступ;
защитить контейнеры, виртуальные машины, и так далее.

Если у приложения мало уязвимостей, значит их еще не искали

При патчинге приложений в организации всегда встает вопрос о приоритетах. Уязвимостей — сотни, одновременно во всех приложениях и на всех компьютерах устранить их практически невозможно. Поэтому администраторы вынуждены сосредоточиться на самых опасных или самых «популярных» (распространенных из-за массово применяемого софта). История MOVEit напоминает, что ситуация далеко не статична. Если последний год вы боролись в основном с дырами в Exchange и других продуктах Microsoft, то не факт, что распределение усилий должно быть таким же и сейчас. Важно следить за тенденциями Threat Intelligence и не просто устранять конкретные новые угрозы, а прогнозировать, как развитие этих угроз может повлиять на организацию.

Голосовые дипфейки: технологии, перспективы, аферы

Не верь ушам своим: голосовые дипфейки

Аудио-дипфейки, позволяющие подделать голос кого угодно, уже используются для многомиллионных афер. Как создаются такие подделки и можно ли защититься от дипфейк-мошенничества?

Безопасность детей и защита приватности

Защита отдельных узлов сети

Другие решения

Другие Отрасли

Другие Продукты

Другие Сервисы

Взлом MOVEit и его последствия

Как ломали и чинили MOVEit Transfer

Сервис передачи файлов — удобный вектор атаки

Фокус на серверы

Если у приложения мало уязвимостей, значит их еще не искали

Ransomware: самые громкие атаки 2023 года

Криптопрачечная: как вымогатели отмывают криптовалюту

Не верь ушам своим: голосовые дипфейки

Советы

Домашние прокси: в чем риски для организаций?

Сейчас вылетит (верифицированная) птичка, или как распознать фейк

Реклама на службе у… спецслужб

Босс или мошенник? Обман под видом поручений начальства

Подпишитесь на нашу еженедельную рассылку

Решения для дома

Для малого бизнеса

Для среднего бизнеса

Корпоративные решения

Securelist

Nota Bene: блог Евгения Касперского

Энциклопедия