Wie der Name schon sagt, handelt es sich bei MOVEit Transfer um ein System, das die einfache Speicherung und gemeinsame Nutzung von Dateien in einem Team, einer Abteilung, einem Unternehmen oder sogar einer Lieferkette ermöglicht. Im aktuellen Fall stellte sich heraus, dass das webbasierte Frontend von MOVEit, das das Teilen und Verwalten von Dateien über einen Webbrowser ermöglicht, eine SQL-Injection-Schwachstelle hat. Diese Art des Datenaustausches ist sehr beliebt, da der Prozess im Allgemeinen als weniger anfällig für fehlgeleitete oder „verlorene“ Dateien gilt als das Teilen per E-Mail.
Die gute Nachricht in diesem Fall ist, dass Progress alle unterstützten MOVEit-Versionen sowie seinen Cloud-basierten Dienst gepatcht hat, sobald das Unternehmen Kenntnis von der Sicherheitslücke erlangte. Kunden, die die Cloud-Version verwenden, sind automatisch auf dem neuesten Stand, im eigenen Netzwerk ausgeführte Versionen müssen aktiv gepatcht werden.
Die schlechte Nachricht ist, dass es sich bei dieser Schwachstelle um eine Zero-Day-Sicherheitslücke handelte, was bedeutet, dass Progress davon erfahren hat, weil Cyberkriminelle sie bereits ausgenutzt hatten. Mit anderen Worten: Vor Erscheinen des Patchs sind möglicherweise bereits betrügerische Befehle in MOVEit SQL-Backend-Datenbanken eingeschleust worden, mit einer Reihe möglicher Folgen:
Eine Gruppe von Angreifern, von denen Microsoft annimmt, dass sie die berüchtigte Clop-Ransomware-Bande sind (oder mit ihr in Verbindung stehen), hat diese Schwachstelle offenbar bereits ausgenutzt, um sogenannte Webshells auf betroffenen Servern einzuschleusen.
Christopher Budd, Senior Manager Threat Research bei Sophos, warnt: „Alle MOVEit-Kunden sollten nach Anzeichen einer Kompromittierung suchen, die über die öffentlich diskutierten hinausgehen, da Angriffe bereits vor der Verfügbarkeit von Patches mit Methoden stattgefunden haben könnten, die noch nicht öffentlich identifiziert wurden. Außerdem ist es wichtig zu beachten, dass durch das Patchen KEINE Webshells oder andere Kompromittierungsartefakte entfernt werden. MOVEit-Kunden müssen deshalb ZUSÄTZLICH zur Installation des Patches eine Prüfung auf Kompromittierung durchführen. Patchen allein reicht NICHT aus.“
Bei vielen, wenn nicht den meisten bisher untersuchten Webshell-basierten Angriffen vermutet Progress, dass wahrscheinlich eine betrügerische Webshell-Datei mit dem Namen human2.aspx gefunden werden kann, möglicherweise zusammen mit neu erstellten schädlichen Dateien mit der Erweiterung .cmdline. Sophos-Produkte erkennen und blockieren bekannte Webshell-Dateien als Troj/WebShel-GO, unabhängig davon, ob sie human2.aspx heißen oder nicht.
Es gilt allerdings zu bedenken, dass andere Angreifer, wenn sie vor der Veröffentlichung des Patches von diesem Zero-Day wussten, möglicherweise andere und subtilere Befehle eingeschleust haben. Diese können durch einfaches Scannen nach zurückgebliebener Malware oder durch Suchen nach bekannten Dateinamen, die möglicherweise in Protokollen auftauchen, eventuell nicht erkannt werden.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…