Kritična mana je nađena u Progress Software aplikaciji za prenos datoteka MOVEit Transfer pod široko rasprostranjenom eksploatacijom u praksi kako bi se preuzeli ranjivi sistemi.
Nedostatak, kojem tek treba dodijeliti CVE identifikator, odnosi se na ozbiljnu ranjivost SQL injekcije koja bi mogla dovesti do povećanih privilegija i potencijalnog neovlaštenog pristupa okruženju.
“Pronađena je ranjivost SQL injekcije u web aplikaciji MOVEit Transfer koja bi mogla omogućiti neovlaštenom napadaču da dobije neovlašteni pristup bazi podataka MOVEit Transfer-a” saopštila je kompanija.
“U zavisnosti od engina baze podataka koji se koristi (MySQL, Microsoft SQL Server ili Azure SQL), napadač može biti u mogućnosti da zaključi informacije o strukturi i sadržaju baze podataka pored izvršavanja SQL naredbi koje mijenjaju ili brišu elemente baze podataka.”
Zakrpe za grešku su dostupne od strane kompanije sa sjedištem u Massachusetts-u, koja takođe posjeduje Telerik, u sljedećim verzijama: 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4 ), 2022.1.5 (14.1.5) i 2023.0.1 (15.0.1).
Razvoj je prvi prijavio Bleeping Computer. Prema Huntress i Rapid7, otprilike 2.500 primjera MOVEit Transfer-a bilo je izloženo na internetu do 31. maja 2023. godine, većina njih se nalazila u SAD-u.
Uspješni pokušaji eksploatacije kulminiraju postavljanjem web shell-a, datoteke pod nazivom “human2.aspx” u direktoriju “wwwroot” koja je kreirana putem skripte sa nasumično odabranim imenom datoteke, kako bi se “eksfiltrovali različiti podaci pohranjeni u lokalnom MOVEit servisu”.
Web shell je takođe dizajniran da dodaje nove sesije administratorskog korisničkog naloga sa nazivom “Usluga zdravstvene provjere” u vjerovatnom pokušaju da se zaobiđe detekcija, otkrila je analiza lanca napada.
Firma GreyNoise za obavještavanje o pretnjama rekla je da je “promatrala aktivnost skeniranja stranice za prijavu na MOVEit Transfer koja se nalazi na /human.aspx već 3. marta 2023. godine”, dodajući da je otkriveno pet različitih IP adresa “u pokušaju da otkriju lokaciju MOVEit instalacija.”
“Iako ne znamo detalje oko grupe koja stoji iza Zero-Day napada koji uključuju MOVEit, to naglašava zabrinjavajući trend hakera koji ciljaju rešenja za prenos datoteka” rekao je Satnam Narang, viši inženjer istraživanja osoblja u Tenable-u.
Razvoj je podstakao američku agenciju za kibernetičku bezbjednost i sigurnost infrastrukture (CISA) da izda upozorenje, pozivajući korisnike i organizacije da slijede korake ublažavanja kako bi se zaštitili od bilo kakve maliciozne aktivnosti.
Takođe se savjetuje da izolujete servere blokiranjem dolaznog i odlaznog saobraćaja i pregledate okruženja za moguće indikatore kompromisa (IoC), i ako jeste, izbrišite ih prije primjene popravki.
“Ako se ponovo pokaže da je riječ o ransomware grupi, ovo će biti drugi poslovni MFT Zero-Day u godini, cl0p je nedavno podivljao s GoAnywhere-om” rekao je istraživač bezbjednosti Kevin Beaumont.
Izvor: The Hacker News
