Italiano
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
Trasferimento MOVEit sfruttato per eliminare il file
Di Alex Delamotte e James Haughom
SentinelOne ha osservato lo sfruttamento in-the-wild (ITW) di CVE-2023-34362, una vulnerabilità nell'applicazione del server di trasferimento file MOVEit. L'attacco fornisce un payload Microsoft IIS .aspx che consente un'interazione limitata tra il server Web interessato e l'archiviazione BLOB di Azure connessa. Il 5 giugno, il gruppo ransomware Cl0p ha rivendicato la responsabilità di questi attacchi, anche se SentinelOne nota che il targeting di una vulnerabilità dell'applicazione di trasferimento file assomiglia ad altri sfruttamenti condotti da attori motivati finanziariamente all'inizio del 2023.
In questo post forniamo dettagli tecnici della catena di attacco insieme a query di ricerca e uno script PowerShell che può essere utilizzato per cercare un potenziale sfruttamento della vulnerabilità MOVEit Transfer.
Durante l'ultima settimana di maggio e l'inizio di giugno 2023, SentinelOne ha osservato lo sfruttamento attivo dei server Windows che eseguivano una versione vulnerabile dell'applicazione file server MOVEit Transfer di Progress Software. L'attacco fornisce una webshell minima che l'aggressore può utilizzare per estrarre il contenuto dei file, inclusi i file ospitati in Microsoft Azure quando l'istanza MOVEit presa di mira è configurata per utilizzare il servizio di archiviazione BLOB di Azure. A partire dal 5 giugno, il gruppo ransomware Cl0p ha rivendicato la responsabilità di queste campagne.
Sebbene lo sfruttamento sia probabilmente opportunistico, SentinelOne ha osservato attacchi contro più di 20 organizzazioni nei seguenti settori, con i fornitori di servizi di sicurezza gestiti (MSSP) e i fornitori di servizi di tecnologia informatica (MSP) gestiti più frequentemente:
La vulnerabilità colpisce le seguenti versioni di MOVEit Transfer:
Questi attacchi vengono condotti contro server Windows che eseguono una versione vulnerabile dell'applicazione di trasferimento file MOVEit, che gli aggressori possono identificare tramite la scansione delle porte o servizi di indicizzazione Internet come Shodan.
Progress Software ha recentemente pubblicato un avviso che descrive in dettaglio una vulnerabilità in MOVEit Transfer che potrebbe consentire l'escalation dei privilegi e l'accesso non autorizzato all'ambiente preso di mira. L'avviso descrive il problema come una vulnerabilità SQL injection, segnalata come CVE-2023-34362, che può consentire a un utente malintenzionato non autorizzato di iniettare comandi SQL e ottenere informazioni dal database preso di mira.
La catena di attacco sfrutta questa vulnerabilità per eseguire un caricamento arbitrario di file tramite l'account del servizio moveitsvc nella directory \MOVEitTransfer\wwwroot\ del server. Il processo svchost.exe del sistema avvia w3wp.exe, un processo di lavoro di Microsoft Internet Information Service (IIS), che quindi scrive diversi file in una nuova directory di lavoro in Temp. La directory di lavoro e i file successivi condividono la stessa sintassi dei nomi pseudo-casuali di 8 caratteri, con un esempio che scrive i seguenti file:
Il processo w3wp.exe avvia csc.exe per compilare il codice C# nel payload, che viene salvato come human2.aspx. Il payload è una webshell minima che interroga informazioni sulla configurazione del database, consentendo all'attore di:
Per estrarre i file, l'aggressore può specificare l'ID file e l'ID cartella dell'oggetto preso di mira nelle intestazioni HTTP di una richiesta effettuata alla webshell. La shell restituisce quindi il contenuto del file specificato come oggetto Gzip nella risposta HTTP del server. La shell elimina anche l'utente esistente denominato "Health Check Service" e crea un nuovo utente con lo stesso nome utente, probabilmente come mezzo di persistenza.
Al momento della stesura di questo articolo, SentinelOne non ha osservato attività successive al posizionamento della webshell.
Le organizzazioni che utilizzano MOVEit Transfer devono aggiornare immediatamente i sistemi interessati. Nelle situazioni in cui non è possibile eseguire gli aggiornamenti, il sistema deve essere portato offline finché non può essere aggiornato. Assicurati che il tuo team di sicurezza possa accedere e analizzare i registri delle applicazioni dai server che eseguono MOVEit Transfer, inclusi i registri di Microsoft IIS.
Poiché lo sfruttamento avviene attraverso l'interazione con MOVEit Transfer a livello di applicazione, le opportunità di rilevamento per gli strumenti EDR (Endpoint Detection & Response) sono limitate all'attività della fase successiva. SentinelOne nota che ciascun payload viene compilato dinamicamente in fase di esecuzione, risultando in un hash univoco per ciascuna vittima. Sebbene forniamo un elenco di hash associati ai payload forniti tramite queste campagne, le organizzazioni non dovrebbero fare affidamento solo sugli hash per rilevare questi attacchi.