美國網(wǎng)絡安全和基礎設施安全局(CISA)承認，它正在向幾個聯(lián)邦機構提供支持，這些機構在Progress(前身為IpSwitch)MOVEit Transfer解決方案中暴露出漏洞后被攻破。根據(jù)CISA發(fā)布的一份警報和網(wǎng)絡安全公告，CL0P勒索軟件團伙一直在積極利用漏洞進行數(shù)據(jù)外泄，并在目標計算機上執(zhí)行遠程命令。

MIVEit Transfer是什么？

Progress security于2023年5月31日首次披露，確認了三個關鍵漏洞(CVE-2023-34362、CVE-2023-35036、CVE-2023-35708)，這些漏洞可使威脅行為者獲得升級的特權和對環(huán)境的未授權訪問。在他們的建議中，進度描述了所有MOVEit客戶應該部署的立即步驟，以修復該漏洞。

CISA的一項技術分析顯示，CL0P小組于2023年5月開始利用SQL注入漏洞，在MOVEit服務器上安裝名為LEMURLOOT的Web shell，刪除名稱為‘human2.aspx’，后來更名為‘human.aspx’(VirusTotal)。WebShell是專門針對MOVEit平臺設計的，它是一個工具包，包括多種操作功能，包括下載文件，以及執(zhí)行和操作Azure系統(tǒng)設置，包括創(chuàng)建管理員用戶。

該漏洞的影響是廣泛的。MOVEit Transfer是一種流行的目標管理文件傳輸(MFT)解決方案，主要在美國的數(shù)千家企業(yè)中使用，包括政府機構、銀行、軟件供應商和其他組織。包括殼牌、佐治亞州大學系統(tǒng)、英國廣播公司和英國航空公司在內(nèi)的受害者開始收到贖金紙條，以防止公布泄露的數(shù)據(jù)。

目標管理文件傳輸（MFT）解決方案

管理文件傳輸解決方案和安全MFT (sMFT)用于保護和自動化跨組織和組織之間的數(shù)據(jù)和文件傳輸。這些解決方案通常由大型組織部署，以實現(xiàn)敏感信息的安全共享，通常將面向公眾的接口與存儲在內(nèi)部和敏感網(wǎng)絡中的內(nèi)容連接起來。

俄羅斯的CL0P (Clop)黑客組織(TA505)據(jù)稱利用了其他MFT解決方案中的漏洞，包括Acellion在2020年和2021年推出的FTA，以及Fortra在2023年早些時候推出的GoAnywhere MFT解決方案(CVE-2023-0669)。

MFT解決方案是威脅行為者的誘人目標。破壞它們可以讓我們獲得本應由解決方案保護的信息;實現(xiàn)對目標機器的控制，可以訪問受保護的受害者網(wǎng)絡。

這使得像CL0P這樣的威脅行為者可以采用“雙重勒索”戰(zhàn)術，允許數(shù)據(jù)竊取和勒索軟件使用所實現(xiàn)的控制在目標機器上執(zhí)行。

被利用的漏洞可以作為威脅參與者執(zhí)行攻擊后期階段的入口。一旦初始階段完成，攻擊者就會建立C2通信，允許他們丟棄有效載荷以執(zhí)行后續(xù)階段。在之前的事件中，人們觀察到CL0P使用了Truebot，該機器人隨后下載了Cobalt Strike和FlawedGrace信標。

雖然攻擊的初始階段利用新的漏洞，但下一階段使用規(guī)避和內(nèi)存技術丟棄惡意有效載荷，以繞過駐留端點保護解決方案的檢測。

建議采取的行動

立即的緩解措施包括應用安全補丁并遵循Progress (MOVEit)發(fā)布的說明，以及更新CISA發(fā)布的IOC。

MOVEit推薦(來源:Progress.com)

查看進度安全中心頁面，更新MOVEitTransfer和MOVEit云漏洞。

直到應用安全補丁(es) -禁用所有HTTP和HTTPs流量到您的MOVEit傳輸環(huán)境，具體如下:?修改防火墻規(guī)則，拒絕HTTP和HTTPs流量到MOVEit傳輸?端口80和443。

查看MOVEit和系統(tǒng)審計日志，查看意外行為，刪除未經(jīng)授權的文件(human2.aspx’,’human.aspx’)并移除未經(jīng)授權的用戶賬戶，詳情請見Forescout.com

應用推薦的安全補丁，恢復HTTP/HTTPs流量。

受影響的版本

修復版本

MOVEit Transfer 2023.0.x (15.0.x)???

MOVEit Transfer 2023.03 (15.0.3)?

MOVEit Transfer 2022.1.x (14.1.x)???

MOVEit Transfer 2022.1.7 (14.1.7)?

MOVEit Transfer 2022.0.x (14.0.x)???

MOVEit Transfer 2022.0.6 (14.0.6)?

MOVEit Transfer 2021.1.x (13.1.x)???

MOVEit Transfer 2021.1.6 (13.1.6)?

MOVEit Transfer 2021.0.x (13.0.x)???

MOVEit Transfer 2021.0.8 (13.0.8)?

MOVEit Transfer 2020.1.x (12.1)???

Must update to at least 2020.1.6 then apply DLL Drop-ins above???

MOVEit Transfer 2020.0.x (12.0) or older???

MUST upgrade to a supported version???

MOVEit Cloud???

Prod: 14.1.6.97 or 14.0.5.45???

Test: 15.0.2.39???

虹科摩菲斯如何有效防御MOVEit Transfer？

虹科摩菲斯的產(chǎn)品具有以下功能，可幫助防范潛在的攻擊和惡意負載：

1、漏洞可見性和優(yōu)先級

虹科摩菲斯的漏洞可見性和優(yōu)先級可提供基于風險和使用情況的漏洞優(yōu)先級。在這種情況下，虹科摩菲斯幫助識別使用具有已知漏洞的應用程序的組織，并根據(jù)實際使用情況和基于已知漏洞利用的信息來確定風險的優(yōu)先級。這使組織能夠迅速采取行動，應用關鍵安全補丁。

2、使用規(guī)避和內(nèi)存技術防止惡意有效載荷

在諸如MOVEit利用等攻擊的情況下，組織必須保護自己免受后期階段的攻擊，以及能夠逃避基于檢測的技術提供的保護機制的攻擊。自動移動目標防御(AMTD)是必要的縱深防御層，因為它可以在不事先知道的情況下阻止威脅，也不需要依賴簽名、IOC和行為模式。

默認情況下，虹科摩菲斯保護在IIS Web服務器下運行的IIS Web服務和MOVEit DMZ組件。如果WebShell執(zhí)行導致后門(如CobaltStrike、Metasploit)訪問系統(tǒng)，虹科摩菲斯的AMTD將提供保護，因為這些后門框架完全無文件，并采用旨在繞過端點保護解決方案檢測的規(guī)避技術。虹科摩菲斯專注于通過利用AMTD技術的真正預防能力，在攻擊鏈的早期禁用該框架。

實例：虹科摩菲斯阻止了以下相關攻擊：

代碼和內(nèi)存開發(fā)技術是最常見的十種MITRE ATT&CK技術之一。AMTD通過變形內(nèi)存和其他系統(tǒng)資源來降低這種風險，使它們基本上對針對它們的威脅不可見。作為深度防御安全態(tài)勢的一層，AMTD可阻止零日、無文件和內(nèi)存中的攻擊，為終端、服務器和工作負載保護提供真正的深度防御，對性能的影響微乎其微，不需要額外的人員編制。

該產(chǎn)品方案受到5,000多家公司的信任，每天可阻止針對Windows和Linux設備上900多萬個受保護終端、服務器和工作負載的30,000多次攻擊。要了解更多關于這項技術的信息以及為什么Gartner將AMTD稱為“網(wǎng)絡的未來”，請閱讀我們的白皮書“零信任+移動目標防御：終極勒索軟件戰(zhàn)略”。