Um grupo de hackers identificou uma vulnerabilidade na implementação do MOVEit e a explorou para lançar um ataque sofisticado. O resultado foi um acesso não autorizado a dados sensíveis, criando um cenário de pesadelo para muitas organizações.
O ataque foi possível devido a uma falha na segurança do MOVEit Transfer. A falha permitiu que os invasores injetassem código malicioso, o que deu a eles acesso total ao sistema e aos dados.
O impacto foi enorme. Dados confidenciais foram comprometidos, causando danos financeiros e de reputação para as organizações afetadas.
O impacto foi enorme. Dados confidenciais foram comprometidos, causando danos financeiros e de reputação para as organizações afetadas.
A vulnerabilidade CVE-2022-24362
A vulnerabilidade CVE-2023-34362 é uma vulnerabilidade de zero-day que foi explorada no aplicativo web de transferência segura de arquivos MOVEit Transfer. Os atores de ameaças usam essa vulnerabilidade para fazer upload de uma web shell e exfiltrar dados. A análise mostrou que os atores de ameaças estavam provavelmente experimentando maneiras de explorar essa vulnerabilidade específica desde 2021. A atividade associada à vulnerabilidade foi amplamente observada em torno de 27 e 28 de maio de 2023, pouco antes do anúncio público da vulnerabilidade pela Progress Software em 31 de maio de 20231.
A exploração da vulnerabilidade
O grupo de ransomware Clop reivindicou pela primeira vez a exploração desta vulnerabilidade em 5 de junho de 20231. Acredita-se que o grupo de cibercriminosos já tinha conhecimento desta vulnerabilidade desde 2021, e eles parecem ter planejado meticulosamente o seu ataque para maximizar o impacto1.
A principal atividade de exploração associada a esta vulnerabilidade foi observada por volta de 27 e 28 de maio de 2023, apenas alguns dias antes do anúncio público da vulnerabilidade pela Progress Software em 31 de maio de 20231. Durante este período, os invasores parecem ter usado uma cadeia de exploração automatizada que levou ao deploy do web shell human2.aspx1.
Investigações adicionais revelaram atividades semelhantes ocorrendo em vários ambientes de clientes no último ano (abril de 2022) e em alguns casos tão cedo quanto julho de 2021. Esta atividade envolveu a exploração da vulnerabilidade MOVEit Transfer para extrair informações dos servidores MOVEit Transfer e identificar as organizações que estavam sendo acessadas1.
Prevenindo Ataques Cibernéticos que Exploram a Vulnerabilidade do MOVEit
Agora que entendemos o que aconteceu e como, o próximo passo lógico é entender como podemos prevenir tais ataques. A prevenção é sempre a melhor forma de defesa quando se trata de segurança cibernética.
Atualizações e patches de segurança
Manter seu software atualizado com os últimos patches de segurança é uma das maneiras mais eficazes de proteger seu sistema contra vulnerabilidades conhecidas.
Auditoria de segurança
A realização regular de auditorias de segurança pode ajudar a identificar vulnerabilidades antes que elas sejam exploradas por atacantes.
Treinamento de conscientização de segurança
O elemento humano é frequentemente o elo mais fraco em qualquer sistema de segurança. Portanto, o treinamento regular de conscientização de segurança é essencial.
As recomendações para prevenir o ataque a vulnerabilidade do MOVEit
Aplicando o patch lançado pelo provedor, Progress
A empresa que desenvolveu o MOVEit Transfer lançou um patch para corrigir a vulnerabilidade. Eles recomendam fortemente que todos os usuários apliquem este patch o mais rápido possível1.
Desabilitar o tráfego HTTP e HTTPS
Se o patch não puder ser aplicado imediatamente, é recomendável desabilitar todo o tráfego HTTP e HTTPS para o ambiente MOVEit Transfer para evitar que invasores se conectem a ele. Embora isso signifique que usuários legítimos não poderão mais se conectar a ele, os protocolos SFTP e FTP continuarão funcionando normalmente e os administradores ainda poderão se conectar a ele por meio do Remote Desktop Protocol1.
Remova arquivos suspeitos e contas de usuários não autorizados
Se o arquivo human2.aspx ou qualquer script .cmdline suspeito for encontrado, ele deve ser excluído. Além disso, qualquer arquivo recém-criado ou desconhecido na pasta MOVEit deve ser analisado de perto e os arquivos .cmdline em qualquer pasta temporária do Windows devem ser examinados. Além disso, qualquer conta de usuário não autorizada deve ser removida1.
Execute as detecções e procure indicações de comprometimento
Depois que o patch for aplicado ou o tráfego HTTP e HTTPS for bloqueado, os administradores devem executar as detecções conforme mencionado anteriormente e procurar cuidadosamente por indicações de comprometimento. Se alguma evidência de comprometimento for encontrada, as credenciais da conta de serviço devem ser redefinidas1.
Verifique a presença de um arquivo human2.aspx
Os administradores do sistema devem verificar a presença de um arquivo human2.aspx na pasta wwwroot do software MOVEit Transfer1.
Revisar arquivos de log
Os arquivos de log também devem ser revisados de pelo menos um mês inteiro antes. Quaisquer downloads/uploads inesperados de arquivos de endereços IP desconhecidos devem ser cuidadosamente analisados. Além disso, os arquivos de log do servidor da Web devem ser verificados quanto a eventos que incluam uma solicitação GET para um arquivo human2.aspx, bem como um grande número de entradas de log ou entradas com grandes tamanhos de dados, que podem indicar downloads de arquivos inesperados. Se aplicável, os arquivos de log do Azure também devem ser revisados quanto ao acesso não autorizado às chaves do Azure Blob Storage1.
Verifique os logs de auditoria
Se o log foi ativado, o arquivo de eventos do Windows C:\Windows\System32\winevt\Logs\MOVEit.evtx fornece muitas informações, incluindo nome do arquivo, caminho do arquivo, tamanho do arquivo, endereço IP e nome de usuário realizando o download. Os logs de auditoria são armazenados no banco de dados MOVEit e podem ser consultados diretamente ou por meio da funcionalidade de relatório integrada do software. Os administradores podem usar esses logs para gerar um relatório de ações de download de arquivo executadas por meio do software, ajudando-os a detectar possível exfiltração de dados1.
Verifique os logs de auditoria
Se o log foi ativado, o arquivo de eventos do Windows C:\Windows\System32\winevt\Logs\MOVEit.evtx fornece muitas informações, incluindo nome do arquivo, caminho do arquivo, tamanho do arquivo, endereço IP e nome de usuário realizando o download. Os logs de auditoria são armazenados no banco de dados MOVEit e podem ser consultados diretamente ou por meio da funcionalidade de relatório integrada do software. Os administradores podem usar esses logs para gerar um relatório de ações de download de arquivo executadas por meio do software, ajudando-os a detectar possível exfiltração de dados1.
Aplicar monitoramento contínuo
O monitoramento contínuo deve ser aplicado para qualquer um dos Indicadores de Compromissos fornecidos pelo Progress1.
Em termos de remoçãerabilidade, aplicar o patch do fornecedor do software é o método mais direto. As outras etapas visam principalmente detectar se a vulnerabilidade foi explorada e remover quaisquer alterações ou acesso que os invasores possam ter obtido.
O que é MoveIT?
MoveIT é uma solução de gerenciamento de transferência de arquivos que ajuda as organizações a moverem dados sensíveis de maneira segura e eficiente. No entanto, mesmo as melhores soluções de segurança não estão imunes a vulnerabilidades e explorações.
Sobre a DANRESA
A DANRESA é uma empresa líder e altamente especializada em cibersegurança, fornecendo soluções abrangentes para proteger as empresas contra os constantes desafios dos ataques cibernéticos. Com uma reputação sólida e uma equipe experiente de profissionais, a DANRESA é uma parceira confiável para garantir a segurança dos dados e a proteção dos sistemas das empresas.
Experiência e Conhecimento Profundo
A DANRESA possui uma vasta experiência no campo da cibersegurança, tendo trabalhado com empresas de diversos setores e tamanhos. Seus profissionais altamente qualificados têm um conhecimento profundo das últimas tendências e ameaças cibernéticas, permitindo que eles estejam sempre um passo à frente dos hackers e criminosos virtuais.
Soluções Personalizadas e Adaptáveis
Uma das principais vantagens da DANRESA é sua capacidade de fornecer soluções personalizadas e adaptáveis às necessidades específicas de cada empresa. Eles realizam uma análise abrangente dos sistemas existentes, identificam vulnerabilidades e desenvolvem estratégias de segurança sob medida, levando em consideração os requisitos e objetivos individuais de cada cliente.
Proteção Multicamadas
A DANRESA adota uma abordagem de proteção multicamadas para garantir a segurança abrangente dos sistemas das empresas. Isso envolve a implementação de firewalls avançados, sistemas de detecção de intrusões, monitoramento em tempo real, análise de tráfego e autenticação de usuários, entre outras medidas de segurança essenciais. Essa abordagem em camadas cria uma barreira robusta contra ataques cibernéticos em várias frentes.
Monitoramento Proativo e Resposta Rápida
Além de implementar medidas de segurança, a DANRESA oferece monitoramento proativo 24 horas por dia, 7 dias por semana, para detectar quaisquer atividades suspeitas em tempo real. Isso permite que eles identifiquem e respondam rapidamente a possíveis ataques, minimizando o impacto e evitando danos significativos aos sistemas e aos dados empresariais.
Conscientização e Treinamento em Segurança
A DANRESA reconhece que a conscientização e o treinamento dos funcionários são essenciais para uma estratégia eficaz de cibersegurança. Por isso, eles oferecem programas de treinamento abrangentes para capacitar os colaboradores a reconhecerem e responderem adequadamente a ameaças cibernéticas, como phishing, engenharia social e ataques de malware. Essa abordagem ajuda a fortalecer a linha de defesa da empresa e reduzir o risco de violações de segurança.
Parceria de Confiança
A DANRESA reconhece que a conscientização e o treinamento dos funcionários são essenciais para uma estratégia eficaz de cibersegurança. Por isso, eles oferecem programas de treinamento abrangentes para capacitar os colaboradores a reconhecerem e responderem adequadamente a ameaças cibernéticas, como phishing, engenharia social e ataques de malware. Essa abordagem ajuda a fortalecer a linha de defesa da empresa e reduzir o risco de violações de segurança.
A DANRESA é a parceira ideal para empresas que desejam proteger seus dados e sistemas contra ataques cibernéticos. Com sua experiência, conhecimento técnico e soluções personalizadas, eles são líderes no setor de cibersegurança e estão prontos para enfrentar os desafios em constante evolução do mundo digital.
Últimos Posts
0 comentário