MOVEit Transfer Zero-Day-Schwachstelle wird für Datendiebstahlsangriffe ausgenutzt

Eine Zero-Day-Schwachstelle, die MOVEit Transfer betrifft, wird Berichten zufolge von Hackern weltweit aktiv ausgenutzt.

MOVEit Transfer ist ein beliebtes Dateiübertragungsprogramm, das von Ipswitch, einer Tochtergesellschaft der Progress Software Corporation mit Sitz in den USA, entwickelt wurde und von vielen Unternehmen für den sicheren Austausch sensibler Daten über Netzwerke verwendet wird. Berichten zufolge wird jedoch eine kürzlich entdeckte Zero-Day-Schwachstelle ausgenutzt, und mehrere Tausend MOVEit Transfer-Server sind bereits Opfer eines massiven Datendiebstahls geworden.

Wie aus dem Advisory des Anbieters hervorgeht, betrifft diese SQL-Injection-Schwachstelle MOVEit Transfer vor 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5), 2023.0.1 (15.0.1) und könnte möglicherweise ausgenutzt werden, um Zugriff auf vertrauliche Daten während der Übertragung zu erlangen, was zu einer Ausweitung der Privilegien und einem unbefugten Zugriff auf die Umgebung sowie zur Ausführung von Remote-Code führen könnte.

Abhilfemaßnahmen

Um das Risiko zu minimieren, wird Unternehmen, die MOVEit Transfer verwenden, empfohlen, die vom Hersteller bereitgestellten Abhilfemaßnahmen zu befolgen und ein Upgrade auf die neueste Softwareversion durchzuführen.

Zu den Abhilfemaßnahmen gehört es, den HTTP- und HTTPs-Verkehr zu MOVEit Transfer an den Ports 80 und 443 zu unterbinden. Der Nachteil dieser Maßnahme besteht darin, dass die Web-UI von Transfer für die Benutzer und die MOVEit Automation-Aufgaben nicht zugänglich ist und dass die REST-, Java- und .NET-APIs sowie das MOVEit Transfer-Add-In für Outlook nicht funktionieren. Der Zugriff auf MOVEit Transfer ist jedoch über einen Remote-Desktop möglich, und die Protokolle SFTP und FTP/s funktionieren weiterhin wie gewohnt.

Als weitere Abhilfemaßnahmen empfiehlt Progress, alle Instanzen der Skriptdateien human2.aspx und .cmdline zu löschen, alle in den Verzeichnissen C:\MOVEitTransfer\wwwroot\ und C:\Windows\TEMP\[random]\ erstellten Dateien zu überprüfen, insbesondere diejenigen mit der Dateierweiterung [.]cmdline, alle nicht autorisierten Benutzerkonten zu entfernen, die Protokolle auf große Downloads von unbekannten IPs zu überprüfen und die Anmeldeinformationen für die betroffenen Systeme und das MOVEit-Servicekonto zurückzusetzen.

Erwägung alternativer Dateiübertragungsmechanismen

Obwohl die Patches für alle unterstützten MOVEit Transfer-Versionen verfügbar sind, wird den MOVEit Transfer-Benutzern empfohlen, vor dem Upgrade und der Wiederaufnahme der Verwendung der Anwendung zusätzlich zu den empfohlenen Abhilfemaßnahmen alternative sichere Dateiübertragungsmechanismen in Betracht zu ziehen und eine Untersuchung durchzuführen, um festzustellen, ob ein Vermögenswert gefährdet wurde.

Bedrohungsakteure und mögliche Beweggründe

Die Bedrohungsakteure und ihre Motive sind den Forschern noch unklar, jedoch könnte diese Zero-Day-Schwachstelle für massenhafte Datendiebstahlsangriffe genutzt werden. Bei diesen Angriffen greifen Cyberkriminelle gezielt Server an und missbrauchen die Schwachstelle, um vertrauliche Informationen zu stehlen, während sie sich im Umlauf befinden. Die gestohlenen Daten können dann für verschiedene böswillige Zwecke verwendet werden, z. B. für Erpressung, Identitätsdiebstahl oder die weitere Gefährdung der betroffenen Organisationen.

Holm Security Vulnerability Management Platform – Anweisungen zur Erkennung

Der Schwachstellentest HID-2-1-5343624 für die MOVEit-Zero-Day-Schwachstelle wurde in die Standard-Scankonfiguration aufgenommen, und es ist keine spezielle Konfiguration erforderlich. Dies gilt für alle Scanner-Appliances und externen Knoten.

Sie müssen authentifizierte Scans im Security Center durchführen, um auf diese Sicherheitslücke scannen zu können.

Wir werden Sie auf dem Laufenden halten, sobald weitere Informationen verfügbar sind.

by Mihail Lupan, Head of Security Research at Holm Security