CISA ordena que agências governamentais corrijam falha no MOVEit usada para roubo de dados
5 de Junho de 2023

A CISA adicionou uma vulnerabilidade de segurança ativamente explorada na solução de transferência de arquivos gerenciados Progress MOVEit Transfer à sua lista de vulnerabilidades conhecidas, ordenando que as agências federais dos EUA corrijam seus sistemas até 23 de junho.

A falha crítica (rastreada como CVE-2023-34362 ) é uma vulnerabilidade de injeção SQL que permite que invasores remotos não autenticados acessem o banco de dados do MOVEit Transfer e executem códigos arbitrários.

De acordo com a diretiva operacional vinculativa de novembro de 2022 (BOD 22-01), as Agências do Poder Executivo Civil Federal (FCEB) devem corrigir essa vulnerabilidade de segurança assim que adicionada ao catálogo de Vulnerabilidades Conhecidas Exploradas da CISA.

Embora a BOD 22-01 se concentre principalmente em agências federais, é altamente recomendável que empresas privadas também priorizem a segurança de seus sistemas contra essa falha do MOVEit Transfer ativamente explorada.

A Progress aconselha todos os clientes a corrigirem suas instâncias de MOVEit Transfer para bloquear tentativas de exploração e possíveis violações.

Aqueles que não podem aplicar imediatamente as atualizações de segurança também podem desativar todo o tráfego HTTP e HTTPS para seus ambientes de MOVEit Transfer para reduzir a superfície de ataque.

Você pode encontrar a lista de versões afetadas do MOVEit Transfer e as versões corrigidas na tabela abaixo.

Atualmente, existem mais de 2.500 servidores MOVEit Transfer na Internet, a maioria dos quais estão nos Estados Unidos.

Os atores de ameaças têm explorado o CVE-2023-34362 como uma vulnerabilidade zero-day desde pelo menos 27 de maio, de acordo com o CTO da Mandiant, Charles Carmakal, quatro dias antes que a Progress a divulgasse publicamente e começasse a testar patches de segurança para sistemas vulneráveis.

"A exploração em massa e o amplo roubo de dados ocorreram nos últimos dias", disse Carmakal ao BleepingComputer.

"Embora a Mandiant ainda não saiba a motivação do ator da ameaça, as organizações devem se preparar para extorsão potencial e publicação dos dados roubados".

O BleepingComputer foi informado de que várias organizações já foram violadas e seus dados roubados com a ajuda de um novo web shell descoberto (denominado LemurLoot pela Mandiant).

O LemurLoot ajuda os invasores a coletar informações da conta Azure Blob Storage, incluindo credenciais que podem ser usadas para exfiltrar dados dos contêineres do Azure Blob Storage das vítimas.

A Mandiant também encontrou possíveis links entre ataques direcionados a servidores MOVEit Transfer e o grupo de ameaças financeiramente motivado FIN11, conhecido por tentativas de extorsão de roubo de dados por meio do site de vazamento do ransomware Clop após a exploração de vulnerabilidades zero-day em outros sistemas de transferência de arquivos.

Até agora, a identidade dos atacantes permanece desconhecida, já que ainda não começaram a extorquir suas vítimas.

No entanto, o método de exploração tem uma semelhança notável com instâncias anteriores, incluindo a exploração zero-day de servidores Accellion FTA em dezembro de 2020 e a exploração em massa de um zero-day do GoAnywhere MFT em janeiro de 2023.

Ambos o GoAnywhere MFT e o Accellion FTA são plataformas de transferência de arquivos gerenciados que foram alvo do notório grupo de ransomware Clop para roubar dados e extorquir vítimas.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...