CVE-2023-34362 Erkennung: Kritische MOVEit Transfer Zero-Day-Schwachstelle wird von Bedrohungsakteuren aktiv ausgenutzt, um Daten von Organisationen zu stehlen
Inhaltsverzeichnis:
Kurz nach dem maximal schweren Fehler in der GitLab-Software, bekannt als CVE-2023-2825, taucht eine weitere kritische Schwachstelle auf, die in der Cyber-Bedrohungslandschaft für erhebliches Aufsehen sorgt. Anfang Juni 2023 entdeckte Progress Software eine kritische Schwachstelle in MOVEit Transfer, die zu einer Privilegieneskalation führen kann, und veröffentlichte sofort eine Sicherheitsadvisory, die Minderungsmaßnahmen und Abhilfemaßnahmen abdeckt. Als Reaktion auf die erhöhten Risiken der Ausnutzung dieser Schwachstelle hat CISA kürzlich den entsprechenden Alarm herausgegeben, der Organisationen auffordert, sich der Bedrohung bewusst zu sein und ihre Cybersicherheitslage risikobasiert zu optimieren.
Aktualisiert: Seit dem 2. Juni 2023 wird die MOVEit-Transfer-Schwachstelle als CVE-2023-34362 verfolgt und dem Katalog bekannter ausgenutzter Schwachstellen von CISA hinzugefügt, wobei der CVSS-Wert noch nicht bereitgestellt wurde.
Erkennung von Exploits für eine CVE-2023-34362 Zero-Day in der MOVEit Transfer-Anwendung
Neue Woche, neuer Zero-Day, der eine erhebliche Bedrohung für Cyber-Verteidiger darstellt. Um zu verhindern, dass Exploits für MOVEit Transfer Zero-Day Ihrem System erheblichen Schaden zufügen, nutzen Sie die folgende Reihe von Sigma-Regeln, die von einem Team versierter Bedrohungssucher von SOC Prime veröffentlicht wurden:
Möglicher MOVEit Transfer-Ausnutzungsindikator [MOVEit Transfer 0Day] (über file_event)
Möglicher MOVEit Transfer-Ausnutzungsversuch [MOVEit Transfer 0Day] (über process_creation)
Möglicher MOVEit Transfer-Ausnutzungsversuch [MOVEit Transfer 0Day] (über Webserver)
Außerdem können Cybersecurity-Profis zur Vereinfachung der Inhaltssuche ein „MOVEit“-Tag anwenden und alle relevanten Erkennungen entweder in SOC Primes Sigma-Regelsuchmaschine oder im Threat Detection Marketplace selbst erkunden.
Alle Erkennungsalgorithmen für CVE-2023-34362 sind mit über 25+ SIEM-, EDR-, XDR- und BDP-Formaten kompatibel und ausgerichtet auf MITRE ATT&CK Framework v12, das sich mit den Taktiken Initial Access und Defense Evasion mit Exploit Public-Facing Application (T1190) und Masquerading (T1036) als entsprechende Techniken befasst.
Durch Klicken auf den Detektionen durchsuchen -Button können Organisationen sofort auf noch mehr Erkennungsalgorithmen zugreifen, die darauf abzielen, bösartiges Verhalten zu identifizieren, das mit der Ausnutzung trendender Schwachstellen verbunden ist.
Analyse der kritischen Schwachstelle von MOVEit Transfer
Am letzten Maitag 2023 veröffentlichte Progress Software eine Sicherheitsmitteilung , um Licht auf die neu enthüllte MOVEit Transfer-Schwachstelle zu werfen, die als CVE-2023-34362verfolgt wird, die es Angreifern ermöglicht, unautorisierten Zugang zu kompromittierten Systemen zu erlangen und zu Datendiebstahlangriffen führt.
Um Cyber-Verteidiger sofort vor den wachsenden Risiken im Zusammenhang mit Versuchen zur Ausnutzung der MOVEit Transfer-Schwachstelle zu warnen, hat Progress Software die Details dieser SQL-Injection Lücke bereitgestellt. Laut der Beratung des Anbieters könnten alle Softwareversionen von der Schwachstelle betroffen sein, was eine sofortige Reaktion der Cyber-Verteidiger erfordert.
Um im Falle einer erfolgreichen Ausnutzung der Schwachstelle die Infektion im Unternehmensumfeld rechtzeitig zu erkennen, fordert CISA Organisationen auf, den von Progress Software herausgegebenen Minderungsrichtlinien zu folgen, die das Deaktivieren des gesamten HTTP/HTTPS-Datenverkehrs zur potenziell kompromittierten Umgebung umfassen, das Entfernen unautorisierter Dateien und das Zurücksetzen von Benutzeranmeldedaten, sofortiges Anwenden der Patches, ständige Überwachung der Infrastruktur auf potenzielle Bedrohungen und das Befolgen von Best Practices der Branche zur Verbesserung der Cyber-Hygiene.
GreyNoise hat die Scanning-Aktivität für die MOVEit Transfer-Anmeldeseite offengelegt, die bis Anfang März 2023 zurückreicht. Durch die Analyse der identifizierten Aktivität fanden Cybersecurity-Forscher heraus, dass fünf IPs als bösartig markiert werden könnten, was auf eine frühere Angreiferaktivität hinweist, die möglicherweise mit den Versuchen zur Ausnutzung der Schwachstelle verbunden ist.
Basierend auf dem Exploit-zentrierten Reddit-Threadnutzen Angreifer eine Hintertür namens human2.aspx, die es ihnen ermöglicht, die gesamte Liste der Ordner, Dateien und Benutzer innerhalb der betroffenen MOVEit-Umgebung abzurufen, beliebige Dateien vom Zielsystem herunterzuladen und Angreifern das Durchführen von Anmeldeinformationen-Umgehungstaktiken zu erlauben, um sensible Daten zu stehlen und die Infektion weiter zu verbreiten.
Um sofort nach relevanten IOCs zu suchen, erkunden Sie Uncoder AI , das Sicherheitstechniker in die Lage versetzt, automatisch Datei-, Host- oder Netzwerkkompromittierungsindikatoren in benutzerdefinierte IOC-Abfragen umzuwandeln, die in der ausgewählten SIEM- oder EDR-Umgebung sofort ausgeführt werden können. Und das ist noch nicht alles – das Tool fungiert als ultimative Lösung für jeden Erkennungsingenieur und Bedrohungsjäger, um tägliche Ad-hoc-Operationen wie Bedrohungsrecherche, Regelkodierung mit Autovervollständigung, Validierung, Inhaltstranslation und mehr von einem einzigen Ort aus zu rationalisieren.
