企業用文件分享應用程式MOVEit Transfer在今年5月遭黑客入侵,雖然未必很多人認識這款應用程式,但事件的數百家受害者企業卻是不乏廣為人知的國際巨企,這次事故的來龍去脈無論是否IT相聯的員工,都有瞭解和加以提防的價值。
MOVEit Transfer被入侵的主要經過
在今年5月27日很多機構的網絡報告出現使用MOVEit Transfer的可疑活動,根據調查,攻擊者利用未知的安全漏洞透過執行SQL queries盜竊資料,在5月31日應用程式的開發公司Progress發報首次公告,總結了至當時為止發存的修正和建議補救步驟,但其後發現雲端版本Moveit也受到感染,Moveit Cloud暫時關閉進行補丁及調查,有研究人員在在地伺服器上找到2500個安全漏洞。
6月2日安全漏洞被定為CVE-2023-34362,CVSS評分為9.8/10,研究人員提威脅的矛頭直接cl0p加密勒索組織,在6月9日有研究員指出MOVEit的安全漏洞早在2021年已有被測試的跡象,調查顯示網絡攻擊鏈不一定以SQL注入結束,也可能包括執行代碼。
值得讚揚的是,Progress不但對軟件補丁,也進行了編碼的審核,有助重現整個漏洞鏈和發現另一個安全漏洞(CVE-2023-35036),並預告在6月9日修復,而在很多管理員安裝補丁前,Progress自己又發現另一個問題CVE-2023-35708,並在6月15日的公告中公開,MOVEit Cloud再次關閉10小時進行修補。同日發現有黑客公開部份受害者的資料並開始要求贖金,兩日後美國政府懸紅高達1000萬美元為求取得cl0p組織的資料。
Progress在6月26日宣佈在7月2日關閉MOVEit Cloud三小時以加強伺服器保安,到7月6日開發人員再次推出另一個更新,修復三個安全漏洞,包括CVE-2023-36934、CVE-2023-36932和CVE-2023-36933。
檔案分享服務成為方便的攻擊媒介
其實MOVEit Transfer的攻擊並非同類型的首次,當似的攻擊在今年1月的Fortra GoAnywhere MFT,以及2020年底涉及大型安全漏洞的Accellion FTA。很多攻擊的目標是取得存取伺服器的特權或執行任意代碼,這次的事故也不例外,但黑客也經常執行快速和低風險的攻擊,以取得檔案分享服務存取資料庫的權限,有助於在無需深入系統的情況下搶奪文件,而且不被保安方案偵測到,因為下載應該下載的文件並不太可疑。
另一方面,檔案分享數據庫傾向收集很多重要資料,MOVEit Transfer其中一個受害者就收藏了4500家學校和學生的資料。對保安團隊而言,事件告訴大家這類應用程式的設定需要特別留神,應該採取措施限制管理存取,對資料庫管理和網絡防護也應該採取額外的保安考量,企業應該對員工推工數碼衛生,教導他們從檔案交換系統上盡快刪除不需要的檔案,並分享的人數越少越好。
焦點在伺服器
攻擊者想盜竊資料,伺服器由於不會被太密切地監察,而且含有大量資料,所以算是容易的目標,不意外地攻擊會對受歡迎的伺服器方慹用程式利用到大規模的安全漏洞攻擊,例如ProxyShell或ProxyNotShell,黑客透過掌握ESXi farm和Oracle資料庫的加密則較為罕見,而MOVEit Transfer雖然在企業世界頗同名氣,對一般公眾而言則認識甚少,因此保安團隊應該把焦點放在伺服器:
- 優先伺服器補丁
- 使用EDR方案
- 限制特權存取
- 使用secure container、虛擬機等
應用程式多安全漏洞即是沒有人打理
當企業開始討論補丁時,優先次序經常是一大難題,安全漏洞數以百計,不能全部電腦和應用程次都即時修復好,所以系統管理員應該聚焦於最危險的安全漏洞,或者因為感染常用軟件而廣泛傳播,就以MOVEit的故事為例,如果去年花時間堵塞Exchange或其他Microsoft產品的安全漏洞,就可能無需再十分聚焦於此,跟隨Threat Intelligence的趨勢十分重要,並非單純消除特定的新威脅,同時預計他們對機構可能帶來的影響。
資料來源:Kaspersky Blog
