10 月 4 日更新:我们使用从高级威胁防护收集的数据添加了更多信息。
7 月 7 日更新:我们涵盖了 MOVEit Transfer 以及 2023 年 7 月服务包中最近披露的漏洞。
执行摘要
5 月 31 日,Progress Software 发布通知,提醒客户其 MOVEit Transfer 产品中存在严重的结构化查询语言注入 (SQLi) 漏洞 (CVE-2023-34362)。MOVEit Transfer 是一款托管文件传输 (MFT) 应用程序,旨在提供敏感数据的安全协作和自动文件传输。
更新:6 月 9 日和 6 月 15 日,Progress Software向客户发出了额外 SQL 注入漏洞的警报(Progress Software 也将其评为严重漏洞,并分别分配了 CVE-2023-35036 和 CVE-2023-35708)。
- CVE-2023-34362
- CVE-2023-35036
- CVE-2023-35708
更新:7 月 7 日,Progress Software 发布了一个服务包,解决了另外三个漏洞,其中一个被评为严重漏洞,两个被评为高漏洞。
- CVE-2023-36934(严重)
- CVE-2023-36932(高)
- CVE-2023-36933(高)
CVE-2023-36934 是一个 SQLi 漏洞,可能允许未经身份验证的攻击者获得对 MOVEit Transfer 数据库的未经授权的访问。CVE-2023-36932 是指多个 SQLi 漏洞,这些漏洞可能允许经过身份验证的攻击者获得对 MOVEit Transfer 数据库的未经授权的访问。最后,CVE-2023-36933 指的是一个漏洞,该漏洞可能允许攻击者调用导致未处理异常的方法,从而可能导致 MOVEit Transfer 应用程序意外终止。
所有三个漏洞均由安全研究人员发现,目前没有证据表明任何漏洞正在被利用。
Progress 建议所有客户应用 2023 年 7 月的服务包,因为它包含对所有三个漏洞的修复。
在所有情况下,最初的漏洞都被利用将 Web shell 上传到 MOVEit Transfer 服务器上。Web shell 还允许威胁行为者枚举 MOVEit Transfer 服务器上的文件和文件夹、读取配置信息、下载文件以及创建或删除 MOVEit 服务器用户帐户。
Unit 42 事件响应已协助各组织完成多项先前和正在进行的调查,其中最初的入侵点是 MOVEit Transfer 的利用。我们整个调查过程中最早的妥协证据是 5 月 27 日,迄今为止,策略、技术和程序 (TTP) 与其他组织在其最初博客中报告的内容一致。
漏洞详情
5 月 31 日,Progress Software发布通知,提醒客户其 MOVEit Transfer 产品中存在严重漏洞 ( CVE-2023-34362 )。CVE-2023-34362 是一个 SQLi 漏洞,使威胁参与者能够提升权限、从数据库服务器查看和下载数据,并可能窃取 Azure 系统设置以及关联的密钥和容器。
Huntress和Mandiant都在 CVE 任务前几天撰写了博客,详细介绍了他们对正在进行的利用此漏洞的活动的观察。Mandiant 已发现“多起受害者 MOVEit 传输系统中大量文件被盗的案例”。到目前为止,我们的内部调查结果与 Huntress 和 Mandiant 的结果一致。
Unit 42 研究人员在D:MOVEitDMZwwwroot human2.aspx目录中看到了该 Web shell ,该目录与 Huntress 报告的目录略有不同。我们还在C:WindowsTemp目录中看到了预编译的 .NET DLL 。
例如,我们观察到文件路径C:WindowsTemperymbsqverymbsqv.dll,其中文件夹和文件名的随机字符是动态生成的,并且在受感染的主机之间各不相同。下面包括 Progress、Huntress 或 Mandiant 博客中未提及的其他妥协指标 (IoC)。
注意:下面的 IoC 确实包含 Progress、Huntress 和 Mandiant 博客中提到的 IP 地址,因为我们认为强调跨受害者组织重用基础设施非常重要。
目前的攻击范围
Unit 42 事件响应正在进行多项调查,其中最初的妥协点似乎是利用 CVE-2023-34362。尽管细节仍在揭晓,但最早的利用证据是在 5 月 27 日。
Mandiant 还报告称,他们正在进行多项调查,调查发现早在 5 月 27 日,CVE-2023-34362 的利用就导致了 Web shell 的初步泄露和部署。Huntress 在博客中报告称,他们有一个客户端受到了影响。
Mandiant 和微软均表示,他们认为这些攻击很可能是 Cl0p 勒索软件团伙所为。受到威胁的组织可能会在不久的将来收到勒索通信。
Palo Alto Networks Xpanse 表示至少有 2,674 个 MOVEit 服务器暴露 HTTP/HTTPs 流量。这不包括 MOVEit 云服务器。进展表明,所有 MOVEit 云服务器均已“修补并完全恢复”。
野外利用
MOVEit 是托管文件传输软件,可对文件进行加密并使用 FTP 或 SFTP 等文件传输协议来传输数据。它还提供自动化服务、分析和故障转移选项。
在 MOVEit 中,包用于确保敏感信息的安全和受控交换。包是指保存要在各方之间安全传输的文件和数据的容器或信封。
对于访客用户,MOVEit 提供一次性使用场景。访客用户可以发送、查看、下载、重播和接收包。
访客用户必须通过向/ human.aspx组件发出请求并提供其电子邮件地址以及数据包接收者的电子邮件地址来注册为访客。该请求最终将被重定向到/guestaccess.aspx组件,自动创建带有发件人和收件人电子邮件地址的电子邮件模板。然后访客用户可以使用此电子邮件模板发送数据包。
SQL注入是由于未能清理组件/moveitsapi/moveitisapi.dll中的输入数据而发生的,该组件提供了与 MOVEit API 相关的文件传输功能。
图 1 描述了来宾用户如何通过使用以下条件向/moveitisapi/moveitisapi.dll端点发送请求来更新会话变量的值:
- HTTP参数action=m2 ,
- HTTP 请求标头x-silock-transaction:folder_add_by_path和x-silock-transaction:session_setrvars
更新的会话变量将允许攻击者使用 SQL 注入字符更新收件人的电子邮件地址。
图 1. MOVEit SQL 注入漏洞利用
攻击流量趋势(2023年6月-9月)
Progress Community 于 2023 年 6 月 16 日发布了 CVE-2023-34362 的补丁,并于 2023 年 7 月 6 日发布了 CVE-2023-36934 的补丁。
对补丁差异(记录文件两个版本之间更改的文件)的技术分析于 2023 年 7 月 11 日左右公开。此后,攻击数量开始增加,7 月 29 日达到峰值 1,639。图 2显示了 6 月到 9 月的攻击流量。
图 2. MOVEit 漏洞利用趋势
临时指南
以下是建议的缓解措施。
Unit 42 团队还建议,任何确实暴露了 MOVEit Transfer Web 界面的组织都应该假设它可能已受到损害。我们强烈建议受影响的组织对服务器进行取证分析,以确保其未受到损害。
更新:6 月 15 日,为了响应新报告的 SQLi 漏洞,Progress Software 更新了他们的指南,表示:“鉴于新发布的漏洞,我们关闭了 MOVEit Cloud 的 HTTPs 流量,并要求所有 MOVEit Transfer 客户关闭他们的 HTTP和 HTTPs 流量,以在创建和测试补丁的同时保护其环境。”
结论
尽管暴露的服务器数量相对较少,Unit 42 建议使用 MOVEit Transfer 的组织立即遵循 Progress Software 的缓解指南。已有报告称 CVE-2023-34362 已在野外被利用,并且在不久的将来可能会有更多组织受到影响。
CVE-2023-35036 和 CVE-2023-35708的额外披露也应受到组织的监控。
妥协指标
路径:
D:MOVEitDMZwwwroothuman2.aspx
E:MOVEitTransferwwwroothuman2.aspx
C:WindowsTemperymbsqverymbsqv.dll
human2.aspx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 Livehunt human2.aspx and h2.aspx
e8012a15b6f6b404a33f293205b602ece486d01337b8b3ec331cd99ccadb562e
2413b5d0750c23b07999ec33a5b4930be224b661aaf290a0118db803f31acbc5
d477ec94e522b8d741f46b2c00291da05c72d21c359244ccb1c211c12b635899
929bf317a41b187cf17f6958c5364f9c5352003edca78a75ee33b43894876c62
b9a0baf82feb08e42fa6ca53e9ec379e79fbe8362a7dac6150eb39c2d33d94ad
4359aead416b1b2df8ad9e53c497806403a2253b7e13c03317fc08ad3b0b95bf
ea433739fb708f5d25c937925e499c8d2228bf245653ee89a6f3d26a5fd00b7a
d49cf23d83b2743c573ba383bf6f3c28da41ac5f745cde41ef8cd1344528c195
387cee566aedbafa8c114ed1c6b98d8b9b65e9f178cf2f6ae2f5ac441082747a
a1269294254e958e0e58fc0fe887ebbc4201d5c266557f09c3f37542bd6d53d7
cf23ea0d63b4c4c348865cefd70c35727ea8c82ba86d56635e488d816e60ea45
f0d85b65b9f6942c75271209138ab24a73da29a06bc6cc4faeddcb825058c09d
c77438e8657518221613fbce451c664a75f05beea2184a3ae67f30ea71d34f37
daaa102d82550f97642887514093c98ccd51735e025995c2cc14718330a856f4
3ab73ea9aebf271e5f3ed701286701d0be688bf7ad4fb276cb4fbe35c8af8409
93137272f3654d56b9ce63bec2e40dd816c82fb6bad9985bed477f17999a47db
5b566de1aa4b2f79f579cdac6283b33e98fdc8c1cfa6211a787f8156848d67ff
3a977446ed70b02864ef8cfa3135d8b134c93ef868a4cc0aa5d3c2a74545725b
348e435196dd795e1ec31169bd111c7ec964e5a6ab525a562b17f10de0ab031d
0ea05169d111415903a1098110c34cdbbd390c23016cd4e179dd9ef507104495
9d1723777de67bc7e11678db800d2a32de3bcd6c40a629cd165e3f7bbace8ead
b1c299a9fe6076f370178de7b808f36135df16c4e438ef6453a39565ff2ec272
9e89d9f045664996067a05610ea2b0ad4f7f502f73d84321fb07861348fdc24a
6015fed13c5510bbb89b0a5302c8b95a5b811982ff6de9930725c4630ec4011d
fe5f8388ccea7c548d587d1e2843921c038a9f4ddad3cb03f3aa8a45c29c6a2f
702421bcee1785d93271d311f0203da34cc936317e299575b06503945a6ea1e0
c56bcb513248885673645ff1df44d3661a75cfacdce485535da898aa9ba320d4
3c0dbda8a5500367c22ca224919bfc87d725d890756222c8066933286f26494c
bdd4fa8e97e5e6eaaac8d6178f1cf4c324b9c59fc276fd6b368e811b327ccf8b
IPs:
5.252.191[.]241
5.252.191[.]103
5.252.189[.]210
5.252.189[.]130
5.252.190[.]119
5.252.190[.]100
5.252.190[.]117
5.252.191[.]31
5.252.190[.]244
165.227.147[.]215
209.97.137[.]33
用户代理:
Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/113.0.0.0+Safari/537.36
Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64;+rv:109.0)+Gecko/20100101+Firefox/114.0
Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/105.0.5195.54+Safari/537.36
转载来源:https://unit42.paloaltonetworks.com/threat-brief-moveit-cve-2023-34362/
图片来源网络侵权可联系删除