CVE-2023-34362 탐지: 위협 행위자가 조직의 데이터를 탈취하기 위해 활발히 악용 중인 심각한 MOVEit Transfer 제로 데이 취약점

GitLab 소프트웨어의 최대 심각성 결함인 CVE-2023-2825의 뒤를 이어, 사이버 위협 환경에서 큰 화제를 모으는 또 다른 심각한 취약점이 등장했습니다. 2023년 6월 초, Progress Software는 MOVEit Transfer에서 권한 상승을 초래할 수 있는 중요 취약점을 발견하고 즉시 완화 조치 및 복구 활동을 포함하는 보안 공지를 발행했습니다. 취약점 악용의 위험이 증가함에 따라 CISA는 최근 이에 대한 경고를 공개하여 조직들이 위협을 주의하고 사이버 보안 태세를 최적화할 것을 촉구했습니다.

업데이트: 2023년 6월 2일부터 MOVEit Transfer 결함은 CVE-2023-34362로 추적되고 CISA의 알려진 악용 취약점 카탈로그 에 추가되었으며, CVSS 점수는 아직 제공되지 않았습니다.

MOVEit Transfer 애플리케이션에서 CVE-2023-34362 제로데이 탐지하기

새로운 주, 사이버 방어자에게 중대한 위협을 주는 새로운 제로데이. MOVEit Transfer 제로데이 악용이 시스템에 심각한 손상을 입히지 않도록 하기 위해 SOC Prime의 기민한 위협 사냥 엔지니어 팀이 발표한 다음의 Sigma 규칙 세트를 활용하십시오:

가능한 MOVEit Transfer 악용 지표 [MOVEit Transfer 0Day] (파일 이벤트를 통해)

MOVEit Transfer 악용 시도 가능성 [MOVEit Transfer 0Day] (프로세스 생성 통해)

의심스러운 App_Web 동적 라이브러리 생성 시도 [MOVEit Transfer 0Day] (파일 이벤트를 통해)

MOVEit Transfer 악용 시도 가능성 [MOVEit Transfer 0Day] (웹서버 통해)

또한, 콘텐츠 검색을 간소화하기 위해 사이버 보안 전문가들은 “MOVEit” 태그를 적용하고 SOC Prime의 Sigma 규칙 검색 엔진 또는 위협 탐지 마켓플레이스 에서 모든 관련 탐지를 탐색할 수 있습니다.

CVE-2023-34362에 대한 모든 탐지 알고리즘은 25개 이상의 SIEM, EDR, XDR 및 BDP 포맷과 호환되며 MITRE ATT&CK 프레임워크 v12에 맞추어 초기 접근 및 방어 회피 전술을 다루며, 해당하는 기법으로 공개된 애플리케이션 악용(T1190)과 변장(T1036)을 사용합니다.

탐지 탐색 버튼을 클릭하여 조직은 최신 취약점 악용과 연결된 악성 행동을 식별하는 데 도움이 되는 더 많은 탐지 알고리즘에 즉시 접근할 수 있습니다. button, organizations can gain instant access to even more detection algorithms aimed to help identify the malicious behavior linked to the exploitation of trending vulnerabilities.

버튼을 클릭하여 조직은 최신 취약점 악용과 연결된 악성 행동을 식별하는 데 도움이 되는 더 많은 탐지 알고리즘에 즉시 접근할 수 있습니다.

MOVEit Transfer 중대한 취약점 분석

2023년 5월 마지막 날, Progress Software는 보안 공지 를 발행하여 새로운 MOVEit Transfer 취약점인 CVE-2023-34362을 조명하며, 이는 공격자들이 손상된 시스템에 무단으로 접근할 수 있게 하고 데이터 탈취 공격으로 이어질 수 있습니다.

MOVEit Transfer 취약점 악용 시도와 관련된 증가하는 위험을 즉시 경고하기 위해 Progress Software는 이 SQL 인젝션 결함의 세부 사항을 제공합니다. 공급업체의 권고에 따르면 이 취약점은 모든 소프트웨어 버전에 영향을 미칠 수 있으므로 사이버 방어자들은 즉각적인 대응이 필요합니다.

기업 환경에서 성공적인 취약점 악용 여부를 신속하게 식별하기 위해 CISA 는 Progress Software가 발행한 완화 권고를 따를 것을 권장합니다. 여기에는 잠재적으로 손상된 환경으로의 모든 HTTP/ HTTPs 트래픽 차단, 비인가 파일 제거 및 사용자 자격 증명 재설정, 패치 즉시 적용, 잠재적 위협을 대비한 인프라 지속적 모니터링, 사이버 위생을 강화하기 위한 업계 모범 사례 준수가 포함됩니다. HTTP/ HTTPs traffic to the potentially compromised environment, removing unauthorized files and resetting user credentials, instantly applying the patches, constantly monitoring the infrastructure for potential threats, and following the industry best practices to boost cyber hygiene.

GreyNoise 는 2023년 3월 초로 거슬러 올라가는 MOVEit Transfer 로그인 페이지에 대한 스캐닝 활동을 공개했습니다. 발견된 활동을 분석한 결과, 사이버 보안 연구원들은 다섯 개의 IP가 악의적으로 표시될 수 있으며, 이는 취약점 악용 시도와 잠재적으로 연결된 초기 공격 활동을 나타냅니다.

취약점에 초점을 맞춘 Reddit 스레드를 기반으로, 공격자들은 human2.aspx라는 백도어를 활용하여 영향을 받는 MOVEit 환경의 전체 폴더, 파일 및 사용자 목록을 가져올 수 있으며, 대상 시스템에서 파일을 다운로드하거나 자격 증명 우회 활동을 수행하여 민감한 데이터를 훔치고 감염을 확산시킬 수 있습니다.

관련 IOC를 즉시 사냥하기 위해, 탐색 Uncoder AI 를 통해 보안 엔지니어가 파일, 호스트 또는 네트워크 손상 지표를 자동으로 선택한 SIEM 또는 EDR 환경에서 실행할 수 있는 맞춤형 IOC 쿼리로 변환할 수 있습니다. 그리고 그것만이 아니라 – 이 도구는 탐지 엔지니어와 위협 사냥꾼이 일일 비정기적 작업을 간소화하는 궁극적인 솔루션으로, 위협 연구, 규칙 코딩, 자동완성, 검증, 콘텐츠 번역 등을 단일 장소에서 제공합니다.