New MOVEit Transfer zero-day mass-exploited in data theft attacks
แฮ็กเกอร์กำลังใช้ช่องโหว่ Zero-day ในซอฟต์แวร์ถ่ายโอนไฟล์ MOVEit Transfer เพื่อขโมยข้อมูลจากองค์กร โดย MOVEit Transfer เป็นโซลูชันการถ่ายโอนไฟล์ที่มีการจัดการ (MFT) ที่พัฒนาโดย Ipswitch ซึ่งเป็นบริษัทในเครือของ Progress Software Corporation ในสหรัฐอเมริกา ซึ่งช่วยให้องค์กรสามารถถ่ายโอนไฟล์ระหว่างคู่ค้าทางธุรกิจและลูกค้าได้อย่างปลอดภัยโดยใช้การอัปโหลดแบบ SFTP, SCP และ HTTP เมื่อวานนี้บริษัท Progress Software Corporation ได้ออกคำแนะนำด้านความปลอดภัยเพื่อเตือนลูกค้าเกี่ยวกับช่องโหว่ที่อยู่ในระดับ Critical ใน MOVEit MFT โดยเสนอการบรรเทาปัญหาจนกว่าจะมีการติดตั้งแพตช์ เพื่อป้องกันการแสวงหาผลประโยชน์ดังกล่าว นักพัฒนาเตือนผู้ดูแลระบบให้บล็อกการรับส่งข้อมูลภายนอกไปยังพอร์ต 80 และ 443 บนเซิร์ฟเวอร์ MOVEit Transfer ซึ่งการบล็อกพอร์ตเหล่านี้จะป้องกันการเข้าถึงเว็บ UI จากภายนอก, ป้องกันการทำงานของ MOVEit Automation บางอย่างไม่ให้ทำงาน, บล็อก API และป้องกันไม่ให้ปลั๊กอิน Outlook MOVEit Transfer ทำงาน อย่างไรก็ตามโปรโตคอล SFTP และ FTPS ยังคงสามารถใช้ในการถ่ายโอนไฟล์ต่อไปได้
นอกจากนี้นักพัฒนาซอฟต์แวร์ยังเตือนผู้ดูแลระบบให้ตรวจสอบโฟลเดอร์ c:MOVEit Transferwwwroot เพื่อหาไฟล์ที่ไม่คาดคิด รวมถึงการสำรองข้อมูลหรือการดาวน์โหลดไฟล์ขนาดใหญ่ จนกว่าจะมีการเผยแพร่แพตช์สำหรับเวอร์ชันของลูกค้า ขอแนะนำให้องค์กรต่างๆ ปิด MOVEit Transfers และดำเนินการตรวจสอบการบุกรุกอย่างละเอียดก่อนที่จะใช้แพตช์และทำให้เซิร์ฟเวอร์ใช้งานได้อีกครั้ง รายการเวอร์ชันปัจจุบันของ MOVEit Transfer ที่ได้รับการแพตช์คือ - MOVEit Transfer 2023.0.0 ได้รับการแก้ไขในเวอร์ชัน MOVEit Transfer 2023.0.1 - MOVEit Transfer 2022.1.x ได้รับการแก้ไขในเวอร์ชัน MOVEit Transfer 2022.1.5 - MOVEit Transfer 2022.0.x ได้รับการแก้ไขในเวอร์ชัน MOVEit Transfer 2022.0.4 - MOVEit Transfer 2021.1.x ได้รับการแก้ไขในเวอร์ชัน MOVEit Transfer 2021.1.4 - MOVEit Transfer 2021.0.x ได้รับการแก้ไขในเวอร์ชัน MOVEit Transfer 2021.0.6 ส่วนรายละเอียดของการโจมตีนั้นบริษัทด้านความปลอดภัยทางไซเบอร์ Rapid7 กล่าวว่าข้อบกพร่องของ MOVEit Transfer คือช่องโหว่ SQL injection ที่นำไปสู่การเรียกใช้โค้ดจากระยะไกล และขณะนี้ยังไม่มีการกำหนด CVE ให้กับมัน Rapid7 กล่าวว่ามีเซิร์ฟเวอร์ MOVEit Transfer ที่ถูกเปิดเผย 2,500 เครื่อง โดยส่วนใหญ่ตั้งอยู่ในสหรัฐอเมริกาและพบ webshell แบบเดียวกันนี้ในอุปกรณ์ที่ถูกโจมตีทั้งหมด webshell นี้มีชื่อว่า human2.asp [VirusTotal] และอยู่ในโฟลเดอร์ HTML สาธารณะ c:MOVEit Transferwwwroot โดย webshell code จะพิจารณาก่อนว่าคำขอขาเข้ามี header ชื่อ X-siLock-Comment หรือไม่ และจะส่งคืนข้อผิดพลาด 404 หาก header ไม่ได้บรรจุด้วยค่าที่เหมือนรหัสผ่านเฉพาะ
จากการวิเคราะห์โดย BleepingComputer เมื่อมีการเข้าถึง webshell และป้อนรหัสผ่านที่ถูกต้อง สคริปต์จะดำเนินการคำสั่งต่างๆ ตามค่าของ X-siLock-Step1, X-siLock-Step1 และ X-siLock-Step3 ของคำขอ header
คำสั่งเหล่านี้อนุญาตให้ผู้โจมตีดาวน์โหลดข้อมูลต่างๆจากเซิร์ฟเวอร์ MySQL ของ MOVEit Transfer และดำเนินการต่างๆ รวมถึง
- รับรายการไฟล์ที่เก็บไว้ ชื่อผู้ใช้ที่อัปโหลดไฟล์ และเส้นทางของไฟล์
- แทรกและลบผู้ใช้ MOVEit Transfer แบบสุ่มชื่อใหม่ด้วยชื่อล็อกอิน Health Check Service และสร้างเซสชัน MySQL ใหม่
- ดึงข้อมูลเกี่ยวกับบัญชี Azure Blob Storage ที่กำหนดค่าไว้ รวมถึงการตั้งค่า AzureBlobStorageAccount, AzureBlobKey และ AzureBlobContainer
- ผู้โจมตีสามารถใช้ข้อมูลนี้เพื่อขโมยข้อมูลโดยตรงจากคอนเทนเนอร์ Azure Blob Storage ของเหยื่อ
- ดาวน์โหลดไฟล์จากเซิร์ฟเวอร์
ผู้ดูแลระบบ MOVEit Transfer ยังได้รายงานบน Reddit ว่าพวกเขายังพบไฟล์ App_Web_
https://www.bleepingcomputer.com/news/security/new-moveit-transfer-zero-day-mass-exploited-in-data-theft-attacks/