Взлом MOVEit и его последствия

Уроки взлома MOVEIt Transfer для тех, кто им не пользуется.

Атаки через Progress MOVEit transfer

Если корпоративное приложение MOVEit Transfer вам незнакомо, инцидент с его взломом все равно стоит изучить хотя бы из-за масштаба последствий: пострадали сотни организаций, включая нефтяной гигант Shell, департамент образования Нью-Йорка, BBC, Boots, Aer Lingus, BA, несколько крупных учреждений здравоохранения в разных странах, Университет Джорджии, Heidelberger Druck и многие другие организации.  Печальная ирония в том, что вектором атаки стало приложение для безопасной и управляемой передачи файлов для крупных организаций (Secure Managed File Transfer Software for the Enterprise) — так называет MOVEit Transfer его создатель, фирма ipswitch (вошла в состав компании Progress). MOVEit Transfer относится к системам управляемой передачи файлов (managed file transfer, MFT) и позволяет организовать обмен большими файлами между сотрудниками компании и внешними подрядчиками, используя для трансфера данных протоколы SFTP, SCP и HTTP. Она существует в виде облачного и on-premise-решения.

На примере этой серии инцидентов есть чему поучиться всем, кто несет ответственность за ИБ в организации.

Как ломали и чинили MOVEit Transfer

Мы не будем пересказывать все перипетии бурных для пользователей MOVEit полутора месяцев, а ограничимся основными вехами.

27 мая стало известно о подозрительной активности в сетях многих организаций, использующих MOVEit Transfer. Расследование показало, что злоумышленники использовали ранее неизвестную уязвимость для выполнения SQL-запросов к базе данных и воровства информации.

31 мая Progress выпустили первый бюллетень c рекомендациями по безопасности и исправлениями. Сначала компания считала, что пострадали только инсталляции on-premise, но впоследствии оказалось, что облачный вариант MOVEit тоже подвержен угрозе.  В результате MOVEit Cloud временно отключили для накатывания патчей и расследования. Исследователи из Rapid7 насчитали в сети 2500 уязвимых серверов on-premise.

2 июня уязвимость получила идентификатор CVE-2023-34362 с почти предельным уровнем критичности (CVSS 9.8). Компании, расследующие инциденты, атрибутировали угрозу группировке вымогателей cl0p.  Позднее, 9 июня, исследователи Kroll сообщили, что, вероятно, эксплуатацию MOVEit тестировали с 2021 года. В ходе расследований инцидентов стало очевидно, что цепочка атаки не обязательно завершается SQL-инъекцией и может включать запуск произвольного кода.

К чести Progress, они не ограничились фиксом, а инициировали аудит кода, в результате чего компания Huntress не только воспроизвела всю цепочку эксплуатации, но и обнаружила еще одну уязвимость. Она была исправлена 9 июня в следующем бюллетене и получила идентификатор CVE-2023-35036.  Многие админы даже не успели установить патч, как в Progress сами обнаружили еще одну уязвимость (CVE-2023-35708) и выпустили для нее третий бюллетень 15 июня. Чтобы применить патчи, MOVEit Cloud снова отключили почти на 10 часов.

День 15 июня примечателен еще и тем, что вымогатели опубликовали на своем сайте утечек информацию о нескольких жертвах и начали переговоры о выкупе.  Двумя днями позже власти США объявили о премии 10 млн долл. за информацию о группировке.

26 июня Progress анонсировала еще одно трехчасовое отключение MOVEit Cloud 2 июля, чтобы «улучшить безопасность серверов».

6 июля вышло ещё одно обновление, в котором устранены ещё три уязвимости, в том числе одна критическая (CVE-2023-36934CVE-2023-36932CVE-2023-36933).

Сервис передачи файлов — удобный вектор атаки

Атака через MOVEit Transfer, замеченная в конце мая, — далеко не первая угроза с использованием сервисов обмена файлами.  До этого в январе была проведена похожая серия атак через сервисы Fortra GoAnywhere MFT, а в конце 2020 года хакеры массово эксплуатировали уязвимость в Accellion FTA.

Во многих кибератаках цель злоумышленников — получить привилегированный доступ к серверам или выполнить произвольный код. Здесь эти задачи тоже решались, но часто у хакеров цель была проще: короткая и «нестрашная» атака для несанкционированного доступа к базам данных сервиса передачи файлов. Она дает возможность стащить файлы организации, не углубляясь в систему и не привлекая лишнего внимания защитников. Ведь скачивание файлов, которые и так предназначены и собраны для скачивания, редко вызывает подозрения.

При этом в файловых хранилищах накапливается очень много действительно важной информации. Например, одна из жертв атаки через MOVEit Transfer признала, что «утекли» данные 45 000 студентов и школьников.

Для защитников это означает, что подобным приложениям и их настройке нужно уделять пристальное внимание, ограничивая административный доступ, принимая дополнительные меры защиты на уровне инфраструктуры и управления БД. Также в организации следует развивать «гигиену данных», например учить пользователей удалять объекты из системы обмена файлами сразу после того, как они перестали быть нужны и сужать круг лиц, имеющих доступ к чтению и скачиванию.

Фокус на серверы

Для кибератак с кражей данных серверы — крайне удобная мишень, поскольку за ними меньше следят, а данных на них содержится больше. Неудивительно, что, кроме массовой эксплуатации популярных серверных приложений наподобие атак ProxyShell и ProxyNotShell, злоумышленники изучают и менее хоженые дороги, осваивая шифрование ферм ESXi , баз данных Oracle и тестируя малоизвестные публике, но популярные в корпоративном мире сервисы наподобие MOVEit Transfer.  Поэтому защитникам нужно уделять серверам повышенное внимание:

Если у приложения мало уязвимостей, значит их еще не искали

При патчинге приложений в организации всегда встает вопрос о приоритетах. Уязвимостей — сотни, одновременно во всех приложениях и на всех компьютерах устранить их практически невозможно. Поэтому администраторы вынуждены сосредоточиться на самых опасных или самых «популярных» (распространенных из-за массово применяемого софта). История MOVEit напоминает, что ситуация далеко не статична. Если последний год вы боролись в основном с дырами в Exchange и других продуктах Microsoft, то не факт, что распределение усилий должно быть таким же и сейчас. Важно следить за тенденциями Threat Intelligence и не просто устранять конкретные новые угрозы, а прогнозировать, как развитие этих угроз может повлиять на организацию.

Советы

Три «бытовые» атаки на Linux

Даже если вы об этом не знаете, у вас дома наверняка есть устройства с ОС Linux — и им тоже нужна защита! Вот три Linux-угрозы, о которых часто забывают даже профессионалы в IT.