Если корпоративное приложение MOVEit Transfer вам незнакомо, инцидент с его взломом все равно стоит изучить хотя бы из-за масштаба последствий: пострадали сотни организаций, включая нефтяной гигант Shell, департамент образования Нью-Йорка, BBC, Boots, Aer Lingus, BA, несколько крупных учреждений здравоохранения в разных странах, Университет Джорджии, Heidelberger Druck и многие другие организации. Печальная ирония в том, что вектором атаки стало приложение для безопасной и управляемой передачи файлов для крупных организаций (Secure Managed File Transfer Software for the Enterprise) — так называет MOVEit Transfer его создатель, фирма ipswitch (вошла в состав компании Progress). MOVEit Transfer относится к системам управляемой передачи файлов (managed file transfer, MFT) и позволяет организовать обмен большими файлами между сотрудниками компании и внешними подрядчиками, используя для трансфера данных протоколы SFTP, SCP и HTTP. Она существует в виде облачного и on-premise-решения.
На примере этой серии инцидентов есть чему поучиться всем, кто несет ответственность за ИБ в организации.
Как ломали и чинили MOVEit Transfer
Мы не будем пересказывать все перипетии бурных для пользователей MOVEit полутора месяцев, а ограничимся основными вехами.
27 мая стало известно о подозрительной активности в сетях многих организаций, использующих MOVEit Transfer. Расследование показало, что злоумышленники использовали ранее неизвестную уязвимость для выполнения SQL-запросов к базе данных и воровства информации.
31 мая Progress выпустили первый бюллетень c рекомендациями по безопасности и исправлениями. Сначала компания считала, что пострадали только инсталляции on-premise, но впоследствии оказалось, что облачный вариант MOVEit тоже подвержен угрозе. В результате MOVEit Cloud временно отключили для накатывания патчей и расследования. Исследователи из Rapid7 насчитали в сети 2500 уязвимых серверов on-premise.
2 июня уязвимость получила идентификатор CVE-2023-34362 с почти предельным уровнем критичности (CVSS 9.8). Компании, расследующие инциденты, атрибутировали угрозу группировке вымогателей cl0p. Позднее, 9 июня, исследователи Kroll сообщили, что, вероятно, эксплуатацию MOVEit тестировали с 2021 года. В ходе расследований инцидентов стало очевидно, что цепочка атаки не обязательно завершается SQL-инъекцией и может включать запуск произвольного кода.
К чести Progress, они не ограничились фиксом, а инициировали аудит кода, в результате чего компания Huntress не только воспроизвела всю цепочку эксплуатации, но и обнаружила еще одну уязвимость. Она была исправлена 9 июня в следующем бюллетене и получила идентификатор CVE-2023-35036. Многие админы даже не успели установить патч, как в Progress сами обнаружили еще одну уязвимость (CVE-2023-35708) и выпустили для нее третий бюллетень 15 июня. Чтобы применить патчи, MOVEit Cloud снова отключили почти на 10 часов.
День 15 июня примечателен еще и тем, что вымогатели опубликовали на своем сайте утечек информацию о нескольких жертвах и начали переговоры о выкупе. Двумя днями позже власти США объявили о премии 10 млн долл. за информацию о группировке.
26 июня Progress анонсировала еще одно трехчасовое отключение MOVEit Cloud 2 июля, чтобы «улучшить безопасность серверов».
6 июля вышло ещё одно обновление, в котором устранены ещё три уязвимости, в том числе одна критическая (CVE-2023-36934, CVE-2023-36932, CVE-2023-36933).
Сервис передачи файлов — удобный вектор атаки
Атака через MOVEit Transfer, замеченная в конце мая, — далеко не первая угроза с использованием сервисов обмена файлами. До этого в январе была проведена похожая серия атак через сервисы Fortra GoAnywhere MFT, а в конце 2020 года хакеры массово эксплуатировали уязвимость в Accellion FTA.
Во многих кибератаках цель злоумышленников — получить привилегированный доступ к серверам или выполнить произвольный код. Здесь эти задачи тоже решались, но часто у хакеров цель была проще: короткая и «нестрашная» атака для несанкционированного доступа к базам данных сервиса передачи файлов. Она дает возможность стащить файлы организации, не углубляясь в систему и не привлекая лишнего внимания защитников. Ведь скачивание файлов, которые и так предназначены и собраны для скачивания, редко вызывает подозрения.
При этом в файловых хранилищах накапливается очень много действительно важной информации. Например, одна из жертв атаки через MOVEit Transfer признала, что «утекли» данные 45 000 студентов и школьников.
Для защитников это означает, что подобным приложениям и их настройке нужно уделять пристальное внимание, ограничивая административный доступ, принимая дополнительные меры защиты на уровне инфраструктуры и управления БД. Также в организации следует развивать «гигиену данных», например учить пользователей удалять объекты из системы обмена файлами сразу после того, как они перестали быть нужны и сужать круг лиц, имеющих доступ к чтению и скачиванию.
Фокус на серверы
Для кибератак с кражей данных серверы — крайне удобная мишень, поскольку за ними меньше следят, а данных на них содержится больше. Неудивительно, что, кроме массовой эксплуатации популярных серверных приложений наподобие атак ProxyShell и ProxyNotShell, злоумышленники изучают и менее хоженые дороги, осваивая шифрование ферм ESXi , баз данных Oracle и тестируя малоизвестные публике, но популярные в корпоративном мире сервисы наподобие MOVEit Transfer. Поэтому защитникам нужно уделять серверам повышенное внимание:
- приоритизировать патчинг серверов;
- использовать решение класса EDR;
- ограничить привилегированный доступ;
- защитить контейнеры, виртуальные машины, и так далее.
Если у приложения мало уязвимостей, значит их еще не искали
При патчинге приложений в организации всегда встает вопрос о приоритетах. Уязвимостей — сотни, одновременно во всех приложениях и на всех компьютерах устранить их практически невозможно. Поэтому администраторы вынуждены сосредоточиться на самых опасных или самых «популярных» (распространенных из-за массово применяемого софта). История MOVEit напоминает, что ситуация далеко не статична. Если последний год вы боролись в основном с дырами в Exchange и других продуктах Microsoft, то не факт, что распределение усилий должно быть таким же и сейчас. Важно следить за тенденциями Threat Intelligence и не просто устранять конкретные новые угрозы, а прогнозировать, как развитие этих угроз может повлиять на организацию.