SentinelLabs, die Forschungsabteilung von Sentinelone, hat die Ausnutzung von CVE-2023-34362, einer Schwachstelle in der MOVEit-Filetransfer-Server-Anwendung, in freier Wildbahn beobachtet. Der Angriff liefert eine Microsoft-IIS .aspx-Nutzlast, die eine begrenzte Interaktion zwischen dem betroffenen Webserver und dem angeschlossenen Azure-Blob-Speicher ermöglicht. Am 5. Juni behauptete die Ransomware-Gruppe Cl0p für die Angriffe verantwortlich zu sein. Die Vorgehensweise dieser Ausnutzung von Dateiübertragungsanwendungen ähnelt der anderer Angriffe, die Anfang 2023 von finanziell motivierten Akteuren durchgeführt wurden.
In den letzten Wochen beobachteten die Sicherheitsforscher die aktive Ausnutzung von Windows-Servern, auf denen eine anfällige Version der Dateiserver-Anwendung „MOVEit Transfer“ von Progress Software läuft. Der Angriff liefert eine minimale Web-Shell, womit der Inhalt von Dateien exfiltriert werden kann, einschließlich Dateien, die in Microsoft-Azure gehostet werden. Es wurden Angriffe auf mehr als 20 Organisationen in verschiedensten Wirtschaftssektoren beobachtet, wobei Managed-Security-Service-Provider (MSSP) und Managed-Information-Technology-Service-Provider (MSP) am häufigsten betroffen sind.
Technische Details der MOVEit-Transfer-Schwachstelle
Die Angriffe richten sich gegen Windows-Server, auf denen eine anfällige Version der MOVEit-Dateiübertragungsanwendung läuft, die Angreifer durch Port-Scanning oder Internet-Indizierungsdienste wie Shodan identifizieren können. Progress Software hat vor kurzem ein Advisory veröffentlicht, in dem eine Schwachstelle in MOVEit Transfer beschrieben wird, die eine Ausweitung der Rechte und einen nicht autorisierten Zugriff auf die Zielumgebung ermöglichen könnte. Das Advisory beschreibt das Problem als SQL-Injection-Schwachstelle (CVE-2023-34362), die es einem unbefugten Angreifer ermöglichen kann, SQL-Befehle zu injizieren und Informationen aus der Zieldatenbank zu erhalten. Die Angriffskette nutzt diese Schwachstelle aus, um einen beliebigen Dateiupload über das moveitsvc-Dienstkonto in das Verzeichnis „\MOVEitTransfer\wwwroot\“ des Servers durchzuführen. Der Prozess svchost.exe des Systems startet w3wp.exe, einen Microsoft-Internet-Information-Service (IIS)-Arbeitsprozess, der dann mehrere Dateien in ein neues Arbeitsverzeichnis in Temp schreibt.
Gegenmaßnahmen und Prävention
Unternehmen, die MOVEit-Transfer verwenden, sollten betroffene Systeme sofort aktualisieren. In Situationen, in denen Upgrades nicht durchgeführt werden können, sollte das System offline genommen werden, bis es aktualisiert werden kann. Unternehmen sollten sicherstellen, dass ihr Sicherheitsteam auf Anwendungsprotokolle von Servern, auf denen MOVEit-Transfer ausgeführt wird, zugreifen und diese analysieren kann, einschließlich Microsoft IIS-Protokolle.
Da die Ausnutzung durch Interaktion mit MOVEit-Transfer auf der Anwendungsebene erfolgt, sind die Erkennungsmöglichkeiten für EDR-Tools (Endpoint-Detection & Response) auf spätere Aktivitäten beschränkt. Sentinelone stellt fest, dass jede Nutzlast zur Laufzeit dynamisch kompiliert wird, was zu einem eindeutigen Hash für jedes Opfer führt. Die Sicherheitsforscher stellen eine Liste von Hashes zur Verfügung, die mit den über diese Kampagnen verbreiteten Nutzdaten verknüpft sind, doch sollten sich Unternehmen bei der Erkennung dieser Angriffe nicht allein auf Hashes verlassen.
Fazit
Aufgrund der von SentinelLabs beobachteten Aktivitäten ist davon auszugehen, dass das Ziel des Angreifers darin besteht, sich Zugang zu so vielen Opferumgebungen wie möglich zu verschaffen, um eine Dateiexfiltration im großen Stil durchzuführen. Obwohl sich die Cl0p-Ransomware-Gruppe zu diesen Angriffen bekennt, zeigen die Untersuchungen, dass diese Techniken einem breiteren Trend finanziell motivierter Angriffe auf Webserver mit anfälliger Dateiübertragungssoftware entsprechen. Zu dieser Kategorie gehören Angriffe auf die Aspera-Faspex-Software, die Anfang 2023 die IceFire-Ransomware lieferte, sowie Angriffe, die Cl0p zugeschrieben werden und eine Zero-Day-Schwachstelle in der GoAnywhere-Managed-File-Transfer-Anwendung (MFT) ausnutzten.
Ausgehend von der relativen Zunahme von Angriffen auf Filetransfer-Server, die Zero-Day- und N-Day-Exploits verwenden, gibt es wahrscheinlich ein umfangreiches Ökosystem zur Entwicklung von Exploits, das sich auf File-Transfer-Anwendungen in Unternehmen konzentriert. Cloud-orientierte Bedrohungsakteure wie Bianlian und Karakurt verwenden Mehrzweck-Dateiverwaltungstools wie Rclone und Filezilla. Eine maßgeschneiderte Webshell zum Diesbstahl von Azure-Dateien durch SQL-Abfragen, die speziell auf die Zielumgebung zugeschnitten sind, stellt eine bemerkenswerte Abweichung dar und lässt darauf schließen, dass das Tool wahrscheinlich lange vor den ersten Angriffen entwickelt und getestet wurde.
Info: Empfehlungen für Betroffene und Details über die Untersuchung von SentinelLabs finden sich hier: https://www.sentinelone.com/blog/moveit-transfer-exploited-to-drop-file-stealing-sql-shell/
#Sentinelone
