Detecção CVE-2023-34362: Falha Crítica Zero-Day do MOVEit Transfer Ativamente Explorada por Atores de Ameaças para Roubar Dados de Organizações
Índice:
Logo após a falha de máxima severidade no software GitLab conhecida como CVE-2023-2825, surge outra vulnerabilidade crítica, gerando um burburinho significativo no cenário de ameaças cibernéticas. No início de junho de 2023, a Progress Software descobriu uma vulnerabilidade crítica no MOVEit Transfer que pode levar à escalada de privilégios e emitiu imediatamente um aviso de segurança cobrindo medidas de mitigação e atividades de remediação. Em resposta aos riscos crescentes de exploração de vulnerabilidades, a CISA recentemente divulgou o alerta correspondente, instando as organizações a estarem cientes da ameaça e a otimizar sua postura de cibersegurança.
Atualizado: Desde 2 de junho de 2023, a falha do MOVEit Transfer foi rastreada como CVE-2023-34362 e adicionada ao Catálogo de Vulnerabilidades Exploited Conhecidas da CISA sem que a pontuação CVSS tenha sido fornecida ainda.
Detecção de Exploits para um CVE-2023-34362 Dia Zero na Aplicação MOVEit Transfer
Nova semana, novo zero-day representando uma ameaça significativa para os defensores cibernéticos. Para evitar que os exploits zero-day do MOVEit Transfer causem danos significativos ao seu sistema, utilize o seguinte conjunto de regras Sigma lançado por uma equipe de engenheiros de busca de ameaças da SOC Prime:
Possível Indicador de Exploração do MOVEit Transfer [MOVEit Transfer 0Day] (via file_event)
Possível Tentativa de Exploração do MOVEit Transfer [MOVEit Transfer 0Day] (via process_creation)
Tentativa Suspeita de Criação de Biblioteca Dinâmica App_Web [MOVEit Transfer 0Day] (via file_event)
Possível Tentativa de Exploração do MOVEit Transfer [MOVEit Transfer 0Day] (via webserver)
Além disso, para simplificar a busca de conteúdo, os profissionais de segurança cibernética podem aplicar a tag “MOVEit” e explorar todas as detecções relevantes na Search Engine de Regras Sigma da SOC Prime ou dentro do Threat Detection Marketplace em si.
Todos os algoritmos de detecção para CVE-2023-34362 são compatíveis com mais de 25 formatos de SIEM, EDR, XDR, e BDP e estão alinhados com o framework MITRE ATT&CK v12, abordando as Táticas de Acesso Inicial e Evasão de Defesa com Exploit Public-Facing Application (T1190) e Mascaramento (T1036) como as técnicas correspondentes.
Ao clicar no botão Explore Detections , as organizações podem obter acesso instantâneo a ainda mais algoritmos de detecção projetados para ajudar a identificar o comportamento malicioso relacionado à exploração de vulnerabilidades em destaque.
Análise de Vulnerabilidade Crítica do MOVEit Transfer
No último dia de maio de 2023, a Progress Software publicou um aviso de segurança para esclarecer a nova vulnerabilidade do MOVEit Transfer revelada, rastreada como CVE-2023-34362, que permite que adversários obtenham acesso não autorizado a sistemas comprometidos e leve a ataques de roubo de dados.
Para alertar instantaneamente os defensores cibernéticos sobre os crescentes riscos relacionados às tentativas de exploração da vulnerabilidade do MOVEit Transfer, a Progress Software forneceu os detalhes dessa falha de injeção SQL . De acordo com o aviso do fornecedor, todas as versões de software podem ser afetadas pela vulnerabilidade, o que requer uma resposta imediata dos defensores cibernéticos.
Para identificar oportunamente a infecção no ambiente corporativo em caso de exploração bem-sucedida de vulnerabilidade, a CISA insta as organizações a seguir as recomendações de mitigação emitidas pela Progress Software, que envolvem desativar todo o tráfego HTTP/HTTPs para o ambiente potencialmente comprometido, remover arquivos não autorizados e redefinir as credenciais de usuário, aplicar imediatamente os patches, monitorar constantemente a infraestrutura para ameaças potenciais e seguir as melhores práticas da indústria para melhorar a higiene cibernética. HTTP/ HTTPs traffic to the potentially compromised environment, removing unauthorized files and resetting user credentials, instantly applying the patches, constantly monitoring the infrastructure for potential threats, and following the industry best practices to boost cyber hygiene.
A GreyNoise revelou a atividade de escaneamento da página de login do MOVEit Transfer, que remonta ao início de março de 2023. Ao analisar a atividade identificada, os pesquisadores de cibersegurança descobriram que cinco IPs poderiam ser marcados como maliciosos, o que indica a atividade anterior de adversários potencialmente ligada às tentativas de exploração de vulnerabilidade.
Com base no tópico do Redditfocado em exploits, os atacantes utilizam uma backdoor apelidada de human2.aspx, o que lhes permite obter a lista completa de pastas, arquivos e usuários dentro do ambiente MOVEit afetado, baixar qualquer arquivo do sistema alvo, e permitir que os atacantes executem atividades de bypass de credenciais para roubar dados sensíveis e espalhar ainda mais a infecção.
Para caçar instantaneamente IOCs relevantes, explore o Uncoder AI que permite que engenheiros de segurança convertam automaticamente indicadores de comprometimento de arquivo, host ou rede em consultas de IOC personalizadas prontas para serem executadas no ambiente SIEM ou EDR selecionado. E isso não é tudo – a ferramenta atua como uma solução definitiva para qualquer engenheiro de detecção e caça de ameaças para agilizar operações diárias ad hoc, como pesquisa de ameaças, codificação de regras com autocompletação, validação, tradução de conteúdo e mais de um único lugar.
