MOVEit-Dateiübertragungssoftware Zero-Day-Alarm - was passiert ist und was jetzt zu tun ist

Anfang des Monats meldete Progress Software, der Spezialist für Anwendungsinfrastruktursoftware für den Aufbau, die Integration und die Verwaltung von Geschäftsumgebungen, eine kritische Sicherheitslücke (CVE-2023-34362) in seinem Produkt MOVEit Transfer und zugehörige MOVEit-Cloud-Lösungen.

Wie der Name schon sagt, handelt es sich bei MOVEit Transfer um ein System, das die einfache Speicherung und gemeinsame Nutzung von Dateien zwischen Teams, Abteilungen, Unternehmen und sogar Lieferketten ermöglicht. In diesem Fall wurde festgestellt, dass die MOVEit-Webschnittstelle, die die Dateifreigabe und -verwaltung über einen Webbrowser ermöglicht, eine SQL-Injection-Schwachstelle aufweist. Diese Art der Dateifreigabe ist beliebt, da allgemein davon ausgegangen wird, dass die Wahrscheinlichkeit, dass der Vorgang fehlgeleitet wird oder „verloren geht“, geringer ist als bei der E-Mail-Freigabe.

Die gute Nachricht in diesem Fall ist, dass Progress alle unterstützten MOVEit-Versionen sowie seinen Cloud-basierten Dienst gepatcht hat, sobald das Unternehmen Kenntnis von der Sicherheitslücke erlangte. Kunden, die die Cloud-Version verwenden, sind automatisch auf dem neuesten Stand, im eigenen Netzwerk ausgeführte Versionen müssen aktiv gepatcht werden.

Die schlechte Nachricht ist, dass es sich bei dieser Schwachstelle um eine Zero-Day-Schwachstelle handelt, was bedeutet, dass Progress sie entdeckt hat, weil Cyberkriminelle sie ausgenutzt haben. Mit anderen Worten: Die betrügerischen Befehle könnten vor der Veröffentlichung des Patches in die MOVEit SQL Server-Datenbank eingeschleust worden sein, was zu einer Reihe möglicher Konsequenzen führen könnte:

• Löschung vorhandener Daten. Das klassische Ergebnis eines SQL-Injection-Angriffs ist die groß angelegte Datenvernichtung.
• Exfiltration vorhandener Daten. Anstatt SQL-Tabellen zu löschen, könnten Angreifer eigene Abfragen einschleusen und so nicht nur die Struktur internen Datenbanken erlernen, sondern auch wichtige Teile extrahieren und stehlen.
• Änderung vorhandener Daten. Angreifer könnten beschließen, Daten zu beschädigen oder zu zerstören, anstatt sie zu stehlen.
• Implantation neuer Dateien, einschließlich Malware. Angreifer könnten SQL-Befehle einschleusen, die wiederum externe Systembefehle starten und so eine beliebige Remotecodeausführung innerhalb eines Netzwerks ermöglichen.

Eine Angreifergruppe, von der Microsoft annimmt, dass sie der berüchtigten Clop-Ransomware-Gruppe angehört (oder mit ihr verbunden ist), hat diese Schwachstelle offenbar ausgenutzt, um sogenannte Web-Shells in betroffene Server einzuschleusen.

Was ist zu tun?

• Wenn Sie MOVEit-Benutzer sind, stellen Sie sicher, dass alle Instanzen der Software in Ihrem Netzwerk gepatcht sind.
• Wenn Sie derzeit keine Patches durchführen können, schalten Sie die Schnittstellen webbasierten (HTTP- und HTTPS) zu Ihren MOVEit-Servern aus, bis Sie dies können. Offenbar wird diese Schwachstelle nur über die Weboberfläche von MOVEit aufgedeckt, nicht über andere Zugriffswege wie SFTP.
• Durchsuchen Sie Ihre Protokolle nach neu hinzugefügten Webserverdateien, neu erstellten Benutzerkonten und unerwartet großen Datendownloads. Progress verfügt über eine Liste der zu durchsuchenden Orte sowie der Dateinamen und der zu suchenden Orte.
• Wenn Sie Programmierer sind, bereinigen Sie Ihre Eingaben.
• Wenn Sie ein SQL-Programmierer sind, verwenden Sie parametrisierte Abfragen, anstatt Abfragebefehle zu generieren, die Zeichen enthalten, die von der Person gesteuert werden, die die Anfrage sendet.

Progress vermutet, dass viele, wenn nicht die meisten der bisher untersuchten Web-Shell-Angriffe eine irreführende Web-Shell-Datei mit dem Namen human2.aspx enthalten könnten, möglicherweise zusammen mit anderen bösartigen Dateien mit der Dateiendung .cmdline. Sophos-Produkte erkennen und blockieren Web-Shell-Dateien namens Troj/WebShel-GO, unabhängig davon, ob sie human2.aspx heißen oder nicht.

Es gilt allerdings zu bedenken, dass andere Angreifer, wenn sie vor der Veröffentlichung des Patches von diesem Zero-Day wussten, möglicherweise andere und möglicherweise subtilere Befehle eingeschleust haben, die nicht durch einfaches Scannen nach zurückgebliebener Malware oder durch Suchen nach bekannten Dateinamen, die möglicherweise in Protokollen auftauchen, erkannt werden können.