Витік даних через MOVEit (CVE-2023-34362): наслідки та реагування
Нещодавній витік даних через MOVEit може увійти в історію як одна з найвідчутніших експлуатацій вразливості нульового дня з усіх коли-небудь виявлених. Наслідки продовжують поширюватися по всьому світу, а нові жертви заявляють про себе майже щотижня. Такі великі організації, як Департамент освіти міста Нью-Йорк, UCLA, Siemens Energy та бухгалтерські фірми Big 4, за останні тижні також повідомили, що постраждали від цієї вразливості.
Масштаб експлуатації MOVEit видається величезним: наразі вона зачепила щонайменше 122 організації та розкрила персональні дані приблизно 15 мільйонів людей. Ці цифри взято безпосередньо з дописів CL0P — російського угруповання-вимагача, яке взяло на себе відповідальність за ці атаки.
Як влаштована SQL-атака CL0P Методи зловмисників уперше стали відомі 27 травня 2023 року, коли Агентство з кібербезпеки та безпеки інфраструктури (CISA) при DHS опублікувало попередження. За даними CISA, угруповання CL0P (також відоме як TA505) почало експлуатувати раніше невідому вразливість типу SQL-ін’єкція в MOVEit Transfer — рішенні для керованого передавання файлів від Progress Software, — що відстежується як CVE-2023-34362.
Під час атаки доступні з інтернету веб-застосунки MOVEit Transfer були заражені вебшеллом під назвою LEMURLOOT. Потім зловмисники використовували цей бекдор, щоб викрадати дані з баз даних MOVEit Transfer. Невдовзі після появи ознак атаки Progress випустила патч, який усунув цю вразливість.
Однак деякі користувачі MOVEit і далі зазнають зламів, оскільки досі не встановили цей патч у своїх мережах. Ця ситуація підкреслює важливість дієвої кіберрозвідки (threat intelligence) та наявності чіткої стратегії встановлення патчів.
Наразі, схоже, жодна галузь не уникнула наслідків цієї зловмисної кампанії CL0P. Десятки організацій державного та приватного секторів підтверджено як жертв, зокрема служби нарахування заробітної плати, роздрібні торговці, великі авіакомпанії, державні установи, два об’єкти Міністерства енергетики, а також штати Міссурі та Іллінойс.
«Наша перевірка постраждалих файлів триває, але попередні результати показують, що постраждало приблизно 45 000 учнів, а також працівники DOE та пов’язані постачальники послуг, — сказала Emma Vadehra, COO Департаменту освіти міста Нью-Йорк. — Приблизно до 19 000 документів отримано несанкціонований доступ. Серед типів даних, яких це торкнулося, — номери соціального страхування та ідентифікаційні номери працівників».
Що таке атака з використанням SQL-ін’єкції?
SQL — це мова програмування, яку зазвичай використовують для управління базами даних і маніпулювання ними. Вразливість типу SQL-ін’єкція — це недолік безпеки у веб-застосунку, що дає зловмиснику змогу втручатися в роботу бази даних застосунку, впроваджуючи шкідливі SQL-інструкції.
Під час атаки з використанням SQL-ін’єкції зловмисник використовує неналежне оброблення введених користувачем даних у SQL-запитах застосунку. Вставляючи шкідливий SQL-код у поля введення, як-от форми чи параметри URL, зловмисник може змінити передбачувану поведінку SQL-запиту.
Наприклад, уявіть вебсайт із формою входу, де користувачі вводять ім’я користувача та пароль. Застосунок може будувати SQL-запит на основі наданих даних, щоб перевірити, чи існує користувач у базі даних, і підтвердити його облікові дані. Однак якщо застосунок не перевіряє чи не очищує належним чином введені користувачем дані, зловмисник може сформувати таке введення, яке змінює логіку запиту або розширює межі його дії.
За даними OWASP, до основних наслідків успішної атаки з використанням SQL-ін’єкції належать:
- Втрата конфіденційності: оскільки SQL-бази даних часто містять конфіденційні дані, втрата конфіденційності — поширена проблема, пов’язана з вразливостями SQL-ін’єкції.
- Скомпрометована автентифікація: погано побудовані SQL-команди для перевірки імен користувачів і паролів можуть дати зловмиснику змогу підключитися до системи від імені іншого користувача, не знаючи пароля.
- Несанкціонований доступ: якщо дані авторизації зберігаються в SQL-базі даних, їх можна змінити та отримати несанкціонований доступ за допомогою атаки з використанням SQL-ін’єкції.
- Втрата цілісності даних: окрім читання конфіденційної інформації, зловмисники можуть змінювати чи навіть видаляти дані за допомогою SQL-ін’єкції.
Пом’якшення наслідків атаки на MOVEit Головні рекомендації CISA щодо реагування на вразливість MOVEit такі:
- Проведіть інвентаризацію активів і даних, визначаючи авторизовані та неавторизовані пристрої й програмне забезпечення.
- Надавайте права адміністратора лише за потреби, створивши список дозволеного програмного забезпечення, який дозволяє запускати лише легітимні застосунки.
- Відстежуйте мережеві порти, протоколи та служби, активуючи конфігурації безпеки на мережевих пристроях, як-от фаєрволи та маршрутизатори.
- Регулярно встановлюйте патчі та оновлюйте програмне забезпечення до найновіших версій, а також періодично виконуйте сканування на вразливості.
Однак навіть якщо ваша організація не використовує MOVEit, від цього можуть постраждати ваші вендори, наражаючи вас на ризик. Зв’яжіться з усіма вендорами, щоб дізнатися, чи використовують вони MOVEit і яких заходів вжили у відповідь на цю вразливість. Також перегляньте договори з вендорами на предмет положень про сповіщення про витік даних, щоб гарантувати, що вендори виконують свої зобов’язання.
Можливо, вам також варто розглянути послуги реагування на інциденти, щоб мати підтримку в разі зламу. За допомогою експертів, таких як ResilientX Security, ви зможете швидше стримувати атаки та мінімізувати збитки.
Зв’яжіться з нами: sos@resilientx.com
Федеральні органи оголосили у твіті винагороду $10 мільйонів за інформацію Тим часом CISA та FBI повідомили у твіті про винагороду в $10 мільйонів за будь-які відомості про угруповання-вимагача CL0P.
У твіті програми Держдепартаменту Rewards for Justice сказано: «Винагорода до $10 мільйонів. За інформацію про встановлення особи чи місцеперебування будь-кого, хто, діючи за вказівкою або під контролем іноземного уряду, бере участь у зловмисних кібердіях проти критичної інфраструктури США з порушенням Computer Fraud and Abuse Act. Надсилайте нам свою інформацію через Signal, Telegram, WhatsApp або через нашу лінію для повідомлень на основі Tor, наведену нижче».
Запобігання експлойтам нульового дня
Ось проактивні кроки, яких організації можуть вжити, щоб виявити вразливості та зменшити вплив атак нульового дня:
- Управління патчами: формальне управління патчами допомагає командам безпеки бути в курсі критичних патчів.
- Управління вразливостями: Оцінки вразливостей і тестування на проникнення можуть виявляти вразливості нульового дня ще до того, як зловмисники ними скористаються.
- Управління поверхнею атаки: ASM дає командам безпеки змогу виявляти всі мережеві активи та сканувати їх на вразливості з погляду зловмисника.
- Кіберрозвідка (threat intelligence): дослідники безпеки часто першими виявляють вразливості нульового дня. Своєчасні оновлення кіберрозвідки можуть забезпечити раннє попередження.
- Виявлення аномалій: інструменти машинного навчання, як-от UEBA, XDR, EDR та деякі IDS/IPS, можуть виявляти підозрілу активність, що вказує на атаки.
Шкода від витоку через MOVEit продовжує поширюватися все далі й ширше. Щоб запобігти подібним атакам нульового дня в майбутньому, командам безпеки потрібно залишатися пильними, маючи можливості безперервного моніторингу та реагування.
