Os pesquisadores de segurança da Horizon3 divulgaram o código de exploração de prova de conceito (PoC) de uma falha de execução de código remoto (RCE) em uma solução de transferência de arquivo gerenciada (MFT) chamada MOVEit Transfer, que foi explorada pelo grupo de ransomware Clop em ataques de roubo de dados.
Essa falha crítica (rastreada como
CVE-2023-34362
) é uma vulnerabilidade de injeção de SQL que permite que atacantes não autenticados acessem servidores MOVEit desatualizados e executem códigos arbitrários remotamente.
Em 31 de maio, dias depois que o grupo de ransomware Clop começou a explorá-lo em grande escala como um zero-day, a Progress lançou atualizações de segurança para corrigir a falha e aconselhou todos os clientes a aplicá-las imediatamente para bloquear tentativas de exploração.
A Horizon3 publicou um PoC de exploração e análise técnica da vulnerabilidade na sexta-feira, bem como uma lista de indicadores de comprometimento (IOCs) que os defensores de rede poderiam usar para detectar a exploração em servidores vulneráveis.
"Este PoC usa uma injeção de SQL para obter um token de acesso à API do sysadmin e, em seguida, usa esse acesso para abusar de uma chamada de deserialização para obter execução de código remoto", explicam os pesquisadores da Horizon3.
"Este PoC precisa acessar um endpoint de provedor de identidade que hospeda certificados RS256 apropriados usados para forjar tokens de usuário arbitrários - por padrão, este PoC usa nosso endpoint de IDP hospedado na AWS."
Com o lançamento deste PoC de exploração RCE, é provável que mais atores de ameaças se movam rapidamente para implantá-lo em ataques ou criar suas próprias versões personalizadas para atingir quaisquer servidores desatualizados deixados expostos ao acesso à Internet.
No entanto, dado a ampla cobertura da mídia dos ataques que exploram a vulnerabilidade, espera-se que o número de servidores MOVEit Transfer desprotegidos na internet tenha diminuído drasticamente desde que o Clop começou a explorar a falha.
O grupo de ransomware Clop assumiu a responsabilidade pelos ataques de roubo de dados que exploram o zero-day
CVE-2023-34362
MOVEit Transfer em uma mensagem enviada ao Bleepingomputer, ataques que supostamente impactaram "centenas de empresas".
A Microsoft também vinculou os ataques ao Clop, atribuindo essa campanha de roubo de dados ao grupo de hackers Lace Tempest, que se sobrepõe à atividade FIN11 e TA505.
De acordo com um relatório da Kroll, as evidências sugerem que o Clop tem buscado ativamente oportunidades para explorar a vulnerabilidade de zero-day do MOVEit corrigida desde 2021.
Eles também estão procurando métodos para extrair dados de servidores MOVEit comprometidos desde pelo menos abril de 2022.
A lista de organizações que divulgaram violações de dados após esses ataques inclui, entre outras, a multinacional britânica EY, o sistema público de saúde irlandês Health Service Executive (HSE), o fornecedor britânico de soluções de folha de pagamento e RH Zellis e alguns de seus clientes (ou seja, a empresa aérea britânica British Airways, a empresa aérea irlandesa Aer Lingus e o Departamento de Educação de Minnesota).
Conhecido por sua história de orquestrar campanhas de roubo de dados, esse grupo de cibercrime tem como alvo vulnerabilidades em várias plataformas de transferência de arquivo gerenciadas nos últimos anos.
As instâncias notáveis incluem a violação zero-day dos servidores Accellion FTA em dezembro de 2020, os ataques de transferência de arquivo gerenciados do SolarWinds Serv-U em 2021 e a exploração de um zero-day do GoAnywhere MFT em ataques generalizados em janeiro de 2023.
Na sexta-feira, a Progress corrigiu e alertou os clientes sobre as vulnerabilidades críticas de injeção de SQL recém-descobertas no MOVEit Transfer, permitindo que atacantes não autenticados roubem informações dos bancos de dados dos clientes.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...