Rilevamento CVE-2023-34362: Vulnerabilità Zero-Day Critica di MOVEit Transfer Attivamente Sfruttata dagli Attori delle Minacce per Rubare Dati dalle Organizzazioni
Indice:
Sulla scia della falla di gravità massima nel software GitLab conosciuta come CVE-2023-2825, un’altra vulnerabilità critica entra in scena, creando un notevole clamore nel panorama delle minacce informatiche. A inizio giugno 2023, Progress Software ha scoperto una vulnerabilità critica in MOVEit Transfer che può portare all’escalation dei privilegi e ha immediatamente emesso un avviso di sicurezza sui provvedimenti di mitigazione e attività di riparazione. Come risposta ai rischi aumentati di sfruttamento della vulnerabilità, CISA ha recentemente rilasciato il corrispondente avviso esortando le organizzazioni a prestare attenzione alla minaccia e ottimizzare il loro atteggiamento sulla cybersicurezza.
Aggiornato: Dal 2 giugno 2023, la falla MOVEit Transfer è stata tracciata come CVE-2023-34362 ed è stata aggiunta al Catalogo delle Vulnerabilità Sfruttate Conosciute di CISA con il punteggio CVSS non ancora fornito.
Rilevamento degli Sfruttamenti per un Zero-Day CVE-2023-34362 nell’Applicazione MOVEit Transfer
Nuova settimana, nuovo zero-day che rappresenta una minaccia significativa per i difensori informatici. Per prevenire che gli exploit zero-day MOVEit Transfer causino danni significativi al tuo sistema, utilizza il seguente set di regole Sigma rilasciato da un team di esperti di caccia alle minacce di SOC Prime:
Indicatore Potenziale di Sfruttamento MOVEit Transfer [MOVEit Transfer 0Day] (tramite file_event)
Tentativo Potenziale di Sfruttamento MOVEit Transfer [MOVEit Transfer 0Day] (tramite webserver)
Inoltre, per semplificare la ricerca dei contenuti, i professionisti della cybersicurezza possono applicare un tag “MOVEit” ed esplorare tutte le rilevazioni pertinenti sia nel motore di ricerca delle Regole Sigma di SOC Prime o all’interno del Threat Detection Marketplace stesso.
Tutti gli algoritmi di rilevamento per CVE-2023-34362 sono compatibili con oltre 25 formati SIEM, EDR, XDR, e BDP e sono allineati al framework MITRE ATT&CK v12, affrontando le Tattiche di Accesso Iniziale ed Evasione delle Difese con Applicazione Pubblicamente Sfruttabile (T1190) e Mascheramento (T1036) come tecniche corrispondenti.
Cliccando il pulsante Esplora Rilevamenti , le organizzazioni possono ottenere accesso immediato a ancora più algoritmi di rilevamento mirati ad aiutare ad identificare il comportamento malevolo legato allo sfruttamento di vulnerabilità di tendenza.
Analisi della Vulnerabilità Critica di MOVEit Transfer
L’ultimo giorno di maggio 2023, Progress Software ha pubblicato un avviso di sicurezza per chiarire sulla vulnerabilità MOVEit Transfer recentemente rivelata, tracciata come CVE-2023-34362, che consente agli avversari di ottenere accesso non autorizzato ai sistemi compromessi e porta ad attacchi di furto di dati.
Per avvertire istantaneamente i difensori informatici dei crescenti rischi relativi ai tentativi di sfruttamento della vulnerabilità MOVEit Transfer, Progress Software ha fornito i dettagli di questo vulnerabilità SQL injection . Secondo l’avviso del fornitore, tutte le versioni del software potrebbero essere affette dalla vulnerabilità, che richiede una risposta immediata dai difensori informatici.
Per identificare tempestivamente l’infezione nell’ambiente aziendale nel caso di sfruttamento della vulnerabilità riuscito, CISA sollecita le organizzazioni a seguire le raccomandazioni di mitigazione emesse da Progress Software, che includono la disabilitazione di tutto il traffico HTTP/HTTPs verso l’ambiente potenzialmente compromesso, la rimozione dei file non autorizzati e il reset delle credenziali utente, applicando immediatamente le patch, monitorando costantemente l’infrastruttura per le potenziali minacce, e seguendo le migliori pratiche del settore per migliorare l’igiene informatica.
GreyNoise ha rivelato l’attività di scansione per la pagina di login di MOVEit Transfer, che risale ai primi di marzo 2023. Analizzando l’attività identificata, i ricercatori sulla sicurezza informatica hanno scoperto che cinque IP possono essere considerati malevoli, il che indica una possibile attività avversaria precedente legata ai tentativi di sfruttamento della vulnerabilità.
Basato sul thread di Reddit incentrato sull’exploit, gli aggressori sfruttano una backdoor soprannominata human2.aspx, che consente loro di ottenere l’intero elenco di cartelle, file e utenti all’interno dell’ambiente MOVEit compromesso, scaricare qualsiasi file dal sistema target e consentire agli aggressori di eseguire attività di bypass delle credenziali per rubare dati sensibili e propagare ulteriormente l’infezione.
Per cacciare istantaneamente gli IOC rilevanti, esplora Uncoder AI che consente agli ingegneri della sicurezza di convertire automaticamente gli indicatori di compromissione di file, host o rete in query IOC personalizzate pronte per essere eseguite nell’ambiente SIEM o EDR selezionato. E non è tutto – lo strumento agisce come una soluzione definitiva per qualsiasi ingegnere di rilevamento e cacciatore di minacce per ottimizzare le operazioni ad hoc quotidiane, come la ricerca delle minacce, la codifica delle regole supportate dall’autocompletamento, la validazione, la traduzione dei contenuti, e altro ancora da un unico posto.
