Soube-se que durante a auditoria na solução de gerenciamento de transferência de arquivos MOVEit Transfer, novas vulnerabilidades críticas foram descobertas. Anteriormente, devido à exploração de um 0-dia vulnerabilidade em Transferência MOVEit, centenas de empresas já foram comprometidas, e o hacking afetou gigantes como British Airways e a BBC.
Fundo
Uma vulnerabilidade de dia 0 (CVE-2023-34362) na solução de gerenciamento de transferência de arquivos MOVEit Transfer foi descoberto no início de junho 2023. Todas as versões do MOVEit Transfer foram afetadas pelo problema, e foi relatado que os ataques contra eles começaram já em maio 27, 2023. O bug era uma injeção de SQL que leva à execução remota de código. Por exemplo, a exploração de uma vulnerabilidade pode levar ao escalonamento de privilégios e dar a terceiros acesso não autorizado ao ambiente MOVEit Transfer.
Os invasores usaram a vulnerabilidade para implantar web shells personalizados nos servidores afetados, permitindo-lhes listar arquivos armazenados no servidor, baixar arquivos, e roubar Armazenamento de Blobs do Azure credenciais e segredos da conta, incluindo o AzureBlobStorageAccount, AzureBlobKey, e configurações do AzureBlobContainer. Microsoft analistas associaram estes ataques ao clop grupo de hackers de ransomware (também conhecido como Tempestade de Renda, TA505, FIN11, ou DEV-0950). Este grupo é conhecido pelo fato de Operadores de ransomware Clop vazaram dados de duas universidades.
Os desenvolvedores do MOVEit reagem às vulnerabilidades
Logo se soube que um total de centenas de empresas foram comprometidas durante os ataques, e o hack foi confirmado pela companhia aérea irlandesa Aer Lingus, British Airways, a BBC e a rede de farmácias britânica Botas. Agora, desenvolvedores do MOVEit Transfer alertaram os clientes sobre novas vulnerabilidades críticas em seu produto de gerenciamento de transferência de arquivos. Novos bugs foram encontrados durante uma auditoria de segurança, qual, depois de ataques massivos, foi realizado por especialistas do Caçadora empresa.
De acordo com o fabricante, as novas vulnerabilidades são injeções de SQL e afetam todas as versões do MOVEit Transfer, permitindo que invasores não autenticados invadam servidores acessíveis pela Internet, alterar ou roubar informações do usuário.
Os desenvolvedores observam que todos os clusters MOVEit Cloud já receberam novas correções que os protegeram de possíveis tentativas de ataque..
Também é importante notar que uma exploração PoC para a vulnerabilidade original de dia zero (CVE-2023-34362) apareceu recentemente, que iniciou ataques massivos contra clientes MOVEit Transfer. A exploração, bem como uma análise técnica detalhada da vulnerabilidade e uma lista de indicadores de comprometimento que os defensores da rede podem usar para detectar a exploração de um bug em servidores vulneráveis, foram publicados por pesquisadores de Horizonte3. Especialistas em segurança da informação alertam que após o lançamento desta exploração, é provável que mais invasores o utilizem em ataques ou criem suas próprias versões para atacar servidores não corrigidos ainda disponíveis na Internet.
