最后更新于2023年8月10日星期四20:55:31 GMT
注意: 截至6月2日, 2023, cve - 2023 - 34362已被分配给原始MOVEit传输零日漏洞. 到目前为止, 另外的MOVEit Transfer漏洞已于6月9日披露并修补, 6月15日, 及七月六日, 2023. 进度有更新 在这里 和 在这里. Rapid7建议立即为所有关键CVE版本更新MOVEit Transfer.
Rapid7管理服务团队正在观察对一个关键问题的利用 零日漏洞(cve - 2023 - 34362) in Progress Software的MOVEit Transfer解决方案跨越多个客户环境. 自漏洞出现以来,我们观察到相关案例有所增加 公开披露 5月31日, 2023; Rapid7 intelligence indicates that the threat actors leveraging cve - 2023 - 34362 have exploited a wide range of organizations, 尤其是在北美.
MOVEit Transfer客户应该优先考虑修复 紧急的基础 并应调用紧急事件响应程序,如果有的话 妥协指标 是在它们的环境中发现的吗. 请注意,虽然更新到固定版本将有助于防止将来的利用, 仅仅打补丁是不足以解决潜在威胁行为者对已经被破坏的系统的访问.
Rapid7对远程代码执行进行了全面深入的技术分析 cve - 2023 - 34362漏洞链.
Background
Progress Software发布了 咨询 周三, 5月31日, 2023年,MOVEit Transfer解决方案中存在严重的SQL注入漏洞. 该漏洞是一个SQL注入漏洞,允许远程攻击者未经授权访问MOVEit Transfer的数据库. 该建议指出,“取决于正在使用的数据库引擎(MySQL, 微软 SQL Server, 或Azure SQL), 除了执行更改或删除数据库元素的SQL语句外,攻击者还可能推断出有关数据库结构和内容的信息...利用未打补丁的系统可以通过HTTP或HTTPS进行."
截至6月2日, cve - 2023 - 34362 是否被分配到这个问题. 该漏洞在发布警告前至少四天就被威胁行为者利用了, Progress Software建议MOVEit的客户在“至少过去30天”内检查未授权访问的迹象."
由于社区对cve - 2023 - 34362的大规模关注,Progress Software 发布新补丁 6月9日星期五,第二个SQL注入漏洞cve - 2023 - 35036. 其中一个被更改的文件似乎是movetisapi.Dll,我们的研究团队确认它在最初的攻击链中发挥了作用. 所有版本的MOVEit Transfer都受到第二个漏洞的影响, 哪些还没有在野外被开发.
6月15日,星期四,进步 披露 第三个漏洞现在被分配为CVE-2023-35708.
截至5月31日,这一数字约为 2500个实例 在公共互联网上公开的MOVEit Transfer, 其中大部分似乎都在美国. Rapid7 has previously analyzed similar SQLi-to-RCE flaws in network edge systems; these types of vulnerabilities can provide threat actors with initial access to corporate networks. 文件传输的解决方案也有 受欢迎的目标 包括勒索软件组织在内的攻击者.
微软 由于 MOVEit转移零日攻击蕾丝风暴, 之前与Cl0p勒索软件有关的威胁行为者, 数据失窃, 以及勒索攻击. 6月6日, Cl0p团伙在他们的泄密网站上发布了一条信息,要求受害者在6月14日之前与他们联系,以协商删除被盗数据的勒索费用. Rapid7威胁情报捕获了以下威胁组织要求的截图.
观察到的攻击者行为
到目前为止,Rapid7服务团队已经确认了至少可以追溯到5月27日和5月28日的妥协和数据泄露指标, 2023(分别). 我们的团队在多个客户环境中观察到相同的webshell名称, 这可能意味着自动化开发.
The adversary behavior our teams have observed so far appears to be opportunistic rather than highly targeted; the uniformity of the artifacts we’re seeing could plausibly be the work of a single threat actor throwing one exploit indiscriminately at exposed targets. 曼迪昂特有额外的分析支持这一理论 在这里.
Rapid7分析了一个与成功利用相关的webshell有效负载样本. webshell代码将首先确定入站请求是否包含名为 X-siLock-Comment, 并且如果头部没有填充特定的类似密码的值,则会返回404“Not Found”错误. 截至6月1日, 2023, rapid7观察到的MOVEit Transfer利用的所有实例都涉及该文件的存在 人类2.aspx 在 wwwroot文件夹 MOVEit安装目录(人类.aspx 是MOVEit用于web界面的原生aspx文件).
缓解指导
2023年5月31日之前的所有MOVEit Transfer版本都存在cve - 2023 - 34362漏洞. 软件的固定版本可用(见下表), 在紧急情况下应该打补丁. 在一个 6月5日更新, Progress Software强调,用户只应该直接从知识库文章中下载补丁,而不是从第三方来源下载.
以下是截至6月9日最新的MOVEit Transfer版本, 2023, 并包含了cve - 2023 - 34362和cve - 2023 - 35036的修复. 注意: 截至6月16日,新版本正在发布以修复CVE-2023-35708. 我们将尽我们所能更新此清单,但请参考 Progress Software的建议 查阅最新资料.
- MOVEit Transfer 2023.0.2
- MOVEit Transfer 2022.1.6
- MOVEit Transfer 2022.0.5
- MOVEit Transfer 2021.1.5
- MOVEit Transfer 2021.0.7
MOVEit Transfer 2020有一个特殊的补丁.1.x (12.1). 2020年的用户.0.x (12.0)或更早版本必须升级到受支持的版本. 进度软件有受影响版本的完整的最新详细信息和文档, 以及固定版本的安装程序和DLL插件, in 他们6月9日的建议. 我们鼓励MOVEit Transfer用户进行 5月31日, 6月9日, 6月15日 咨询他们的基础真理的来源,以及 概述页面 Progress Software创建了.
MOVEit Cloud也受到影响,并在全球范围内打了补丁. 使用微软 Azure集成的MOVEit Transfer用户应该 旋转 他们的Azure存储密钥.
MOVEit Transfer客户应设置防火墙规则,在cve - 2023 - 34362补丁生效前,禁止HTTP和HTTPs流量通过MOVEit Transfer的80和443端口. 用户还应删除任何未经授权的文件或用户帐户(例如.g., .cmdline脚本, 人类2.aspx 实例).
根据运动 咨询,组织应该寻找至少一个月前的妥协迹象. Progress Software也在其咨询中列出了国际石油公司.
识别数据泄露
Rapid7事件响应顾问已经确定了一种方法来确定从受感染的MOVEit客户环境中泄露的内容. MOVEit编写自己的Windows EVTX文件,该文件位于 C:\Windows\System32\winevt\Logs\MOVEit.evtx. MOVEit事件日志包含一个事件ID (event ID) 0),提供了大量的信息, 包括文件名, 文件路径, 文件大小, IP地址, 以及执行下载的用户名.
Progress Software的工程团队告诉Rapid7,虽然MOVEit Transfer默认情况下没有启用事件日志记录, 他们的客户通常会在安装后启用它. 因此,MOVEit应用程序的许多实例可能在主机上有这些记录.
受影响的组织和事件响应者可以使用此信息来确定哪些数据以及泄漏了多少数据, 这也可能有助于在适用的情况下满足法规遵从性标准. 注意: MOVEit客户捕获这些日志数据至关重要 之前 从较早的备份中擦除或恢复应用程序. 安全公司CrowdStrike也是如此 一个导游 直接查询SQL数据库以获取泄漏数据.
从MOVEit Transfer获取文件下载报告
Rapid7感谢Progress Software提供以下信息.
Progress Software团队表示,MOVEit Transfer审计日志存储在数据库中,可以直接查询,也可以通过MOVEit Transfer内置的报告功能查询. 管理员可以用以下值在MOVEit中创建一个新的自定义报告:
字段 : *
表 : 日志
标准:动作= 'file_download' AND (LogTime LIKE '2023-05%'或LogTime LIKE '2023-06%')
保存并运行该报告将返回今年5月和6月审计日志中的所有File Download操作, 包含所有相关字段. 然后,“Fields”值可以很容易地限制为仅来自该点的相关数据.
Rapid7客户
InsightVM和expose客户可以评估其cve - 2023 - 34362的暴露程度, cve - 2023 - 35036, 和CVE-2023-35708,同时进行身份验证和远程漏洞检查. Checks for CVE-2023-35708 are available as of the June 16 content release; InsightVM 和 Nexpose customers should ensure they are using the latest content version. 扫描引擎和洞察代理都支持经过验证的漏洞检查.
针对Rapid7 Insight IDR和Managed 检测 响应 (MDR)客户增加了以下规则:
- 可疑Web请求-与MOVEit漏洞相关的Webshell
- 可疑进程- MOVEit转移利用
InsightCloudSec客户可以使用“超过90天且未轮换访问密钥的存储帐户”洞察力来识别需要轮换的访问密钥. 客户还可以识别相关的风险因素, 例如可公开访问的资源, 禁用加密, 或者禁用威胁保护. 自定义过滤也是可用的.最后,InsightCloudSec通过机器人自动化实现缓解.
更新
2023年6月3日: Rapid7目前观察到的指定利用时间轴和攻击者行为, 新增MOVEit Transfer 2021.0.6到固定版本表,增加了更具体的漏洞细节.
2023年6月4日: 更新注意:Rapid7事件响应人员已经确定了一种方法,可以确定从MOVEit客户环境中泄漏了哪些数据以及泄漏了多少数据. 更新注意,MOVEit客户利用微软Azure集成应该轮换他们的存储密钥.
2023年6月4日: 更新了从MOVEit Transfer获取文件下载数据的指导-我们感谢Progress Software团队.
2023年6月5日: MOVEit云实例已完全修补(Progress Software已要求我们注意云实例已于5月31日修补), 虽然他们的 咨询 根据更新日志,在6月4日之前纳入了MOVEit Cloud的指导). 还添加了最新供应商更新的链接,注明了微软的归属. 更新了使用InsightCloudSec识别和降低未旋转访问密钥和未保护资源相关风险的信息.
2023年6月6日: 更新了Cl0p团伙勒索要求的摘要和联系的截止日期. 增加了CrowdStrike的链接 指南 关于识别泄露数据. 为简洁起见进行了编辑.
2023年6月9日: Progress Software已经发布了新版本的MOVEit Transfer来修复第二个漏洞, 谁的CVE还在等待中. 更新了缓解指南部分,以突出显示最新版本的MOVEit Transfer(针对两个cve打了补丁),并将读者指向建议和概述页面.
2023年6月12日: 更新 Rapid7的完整技术分析 cve - 2023 - 34362漏洞链. InsightVM和expose客户现在还可以通过远程和身份验证漏洞检查来评估他们对cve - 2023 - 35036的暴露情况.
2023年6月13日: 更新以澄清Rapid7对InsightVM和expose客户提供了远程和身份验证的漏洞检查,用于MOVEit传输漏洞(cve - 2023 - 34362), cve - 2023 - 35036).
2023年6月15日: 更新注意进度已经披露了一个额外的 脆弱性 在MOVEit转移(CVE等待).
2023年6月16日: 更新了CVE-2023-35708(第三个MOVEit Transfer漏洞)信息. 最新固定版本的完整列表仍未公布. 请参考 进步的咨询 查阅最新资料. InsightVM和expose客户现在可以在6月16日发布的仅内容版本中使用身份验证和远程漏洞检查来评估他们对CVE-2023-35708的暴露.
2023年7月7日: 截至2023年7月6日,Progress Software披露了MOVEit Transfer的另外三个cve. CVE-2023-36934是一个严重的SQL注入漏洞,可能允许未经身份验证的攻击者访问MOVEit Transfer数据库. CVE-2023-36932是一个严重的SQL注入漏洞,可以允许经过身份验证的攻击者访问MOVEit Transfer数据库. CVE-2023-36933是一个异常处理问题,可能允许攻击者崩溃应用程序. 可获得固定版本:缓解指示和最新版本是正在进行的软件咨询 在这里.
InsightVM和expose的客户将能够通过计划于7月7日发布的经过验证的漏洞检查来评估他们对所有三个cve的暴露情况, 2023年内容发布.
