Хакеры нацелились на 0-day в MOVEit Transfer, который массово используется в атаках для кражи данных.
MOVEit Transfer — это решение для управляемой передачи файлов (MFT) в локальном и облачном исполнении, разработанное Ipswitch, дочерней компанией американской корпорации Progress Software, которое позволяет предприятиям безопасно передавать файлы с помощью SFTP, SCP и HTTP.
Пока неясно, когда произошла эксплуатация и какие субъекты угроз стоят за атаками. Rapid7 заявляет, что проблема в MOVEit Transfer представляет собой уязвимость SQL-инъекции, которая приводит к RCE и в настоящее время не имеет CVE.
Progress экстренно выпустила рекомендации по безопасности с предупреждением о критической уязвимости в MOVEit MFT, которая может привести к эскалации привилегий и потенциальному несанкционированному доступу к среде. Компания предложила меры по ее устранению до тех пор, пока не будут установлены исправления.
Для снижения риска эксплуатации разработчики рекомендуют администраторам блокировать внешний трафик на порты 80 и 443 на сервере MOVEit Transfer.
Помимо того, что блокировка этих портов предотвратит внешний доступ к веб-интерфейсу, она отразится на работе некоторых задач автоматизации MOVEit и модуля Outlook MOVEit Transfer, а также заблокирует API. Однако протоколы SFTP и FTP/s можно по-прежнему использовать для передачи файлов.
Кроме того, следует обращать внимание на «c:\MOVEit Transfer\wwwroot\» на наличие неожиданных файлов, включая резервные копии или загрузки больших файлов, что является одним из индикаторов возможной компрометации.
Ряд инфосек-компаний сообщили об атаках с использованием 0-day MOVEit, включая Huntress, Rapid7, TrustedSec, GreyNoise и Volexity.
TrustedSec отмечает, что массовая эксплуатация началась 28 мая. При этом GreyNoise сообщил о том, что уже 3 марта наблюдал активность сканирования.
В атаках, наблюдаемых в последние дни, злоумышленники, похоже, использовали 0-day для развертывания бэкдора в файле с именем «human2.aspx» в папке «wwwroot» ПО MOVEit, который позволяет получить список файлов и пользователей, загружать файлы в MOVEit и добавлять пользователя-администратора бэкдора.
Mandiant также подключилась к расследованию вторжения, уже столкнулась с массовой эксплуатацией и широкомасштабной кражей именно ценных данных. Судя по всему, пострадали крупные организации. На данный момент злоумышленники не начали вымогать деньги у жертв, поэтому неясно, кто стоит за атаками.
Также неясно точное число жертв, но поиск Shodan показывает около 2500 доступных в Интернете экземпляров MOVEit Transfer. По данным самого поставщика, решение используются сотнями тысяч предприятий, в том числе 1700 компаниями-разработчиками ПО.
Подавляющее большинство экземпляров, найденых в сети, располагаются в США, среди них даже нашлось Министерство внутренней безопасности (DHS).
В случае подтверждения это будет второй популярный продукт MFT, на который нацелены киберпреступники за последние месяцы, после не менее резонансной истории с Accellion FTA в декабре 2020 года.
MOVEit Transfer — это решение для управляемой передачи файлов (MFT) в локальном и облачном исполнении, разработанное Ipswitch, дочерней компанией американской корпорации Progress Software, которое позволяет предприятиям безопасно передавать файлы с помощью SFTP, SCP и HTTP.
Пока неясно, когда произошла эксплуатация и какие субъекты угроз стоят за атаками. Rapid7 заявляет, что проблема в MOVEit Transfer представляет собой уязвимость SQL-инъекции, которая приводит к RCE и в настоящее время не имеет CVE.
Progress экстренно выпустила рекомендации по безопасности с предупреждением о критической уязвимости в MOVEit MFT, которая может привести к эскалации привилегий и потенциальному несанкционированному доступу к среде. Компания предложила меры по ее устранению до тех пор, пока не будут установлены исправления.
Для снижения риска эксплуатации разработчики рекомендуют администраторам блокировать внешний трафик на порты 80 и 443 на сервере MOVEit Transfer.
Помимо того, что блокировка этих портов предотвратит внешний доступ к веб-интерфейсу, она отразится на работе некоторых задач автоматизации MOVEit и модуля Outlook MOVEit Transfer, а также заблокирует API. Однако протоколы SFTP и FTP/s можно по-прежнему использовать для передачи файлов.
Кроме того, следует обращать внимание на «c:\MOVEit Transfer\wwwroot\» на наличие неожиданных файлов, включая резервные копии или загрузки больших файлов, что является одним из индикаторов возможной компрометации.
Ряд инфосек-компаний сообщили об атаках с использованием 0-day MOVEit, включая Huntress, Rapid7, TrustedSec, GreyNoise и Volexity.
TrustedSec отмечает, что массовая эксплуатация началась 28 мая. При этом GreyNoise сообщил о том, что уже 3 марта наблюдал активность сканирования.
В атаках, наблюдаемых в последние дни, злоумышленники, похоже, использовали 0-day для развертывания бэкдора в файле с именем «human2.aspx» в папке «wwwroot» ПО MOVEit, который позволяет получить список файлов и пользователей, загружать файлы в MOVEit и добавлять пользователя-администратора бэкдора.
Mandiant также подключилась к расследованию вторжения, уже столкнулась с массовой эксплуатацией и широкомасштабной кражей именно ценных данных. Судя по всему, пострадали крупные организации. На данный момент злоумышленники не начали вымогать деньги у жертв, поэтому неясно, кто стоит за атаками.
Также неясно точное число жертв, но поиск Shodan показывает около 2500 доступных в Интернете экземпляров MOVEit Transfer. По данным самого поставщика, решение используются сотнями тысяч предприятий, в том числе 1700 компаниями-разработчиками ПО.
Подавляющее большинство экземпляров, найденых в сети, располагаются в США, среди них даже нашлось Министерство внутренней безопасности (DHS).
В случае подтверждения это будет второй популярный продукт MFT, на который нацелены киберпреступники за последние месяцы, после не менее резонансной истории с Accellion FTA в декабре 2020 года.