Todo el ámbito de la ciberseguridad está hablando sobre vulnerabilidades de día cero y ataques de inyección SQL debido a la brecha de seguridad de MFT en MOVEit Transfer. En caso de que no sepa al respecto, le compartiremos la historia de fondo, la línea de tiempo de los eventos y las últimas actualizaciones.
El 31 de mayo de 2023, Progress Software lanzó parches de seguridad para la vulnerabilidad de inyección SQL recientemente descubierta en su aplicación para compartir archivos: MOVEit Transfer. Desde entonces, a diario surgen noticias de nuevos exploits de día cero (zero day) en la aplicación y especulaciones sobre la escala del ataque. Muchas organizaciones, entre ellas British Airways y BBC, se están uniendo a la creciente lista de víctimas del robo de datos.
He aquí una línea de tiempo del ataque:
Fase 1: el descubrimiento luego de la explotación
∙ Mayo 31: Progress publica detalles de la vulnerabilidad junto con correcciones de seguridad.
∙ Junio 1: la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emite una alerta oficial a los usuarios de la aplicación sobre su potencial explotación.
∙ Junio 2: MITRE asigna a la vulnerabilidad un ID de CVE (CVE-2023-34362).
∙ Junio 5: el centro de inteligencia de amenazas de Microsoft publica un mensaje en su cuenta de Twitter acusando a Lace Tempest (alias, TA505, FIN11), un grupo adversario conocido principalmente por ejecutar campañas de ransomware Clop, de ser responsable de los ataques.
∙ Junio 6: Zellis, un software de nómina con sede en el Reino Unido, anuncia un incidente de ciberseguridad debido a la vulnerabilidad de MOVEit. Esto lleva a sus clientes de alto perfil a convertirse en objetivos de violaciones de datos. Este es un caso de riesgo de terceros causado por las vulnerabilidades en las interacciones con partes relacionadas (RPI).
Fase 2: las demandas de rescate y la creciente lista de víctimas
∙ Junio 7: las plataformas de inteligencia de amenazas y los investigadores comienzan a reportar detalles de las demandas de rescate de Clop. Estas requieren que las compañías se comuniquen por correo electrónico y lleguen a un acuerdo dentro de un período de 10 días. Afirman que el incumplimiento dará lugar a una filtración de datos.
∙ Junio 8: el análisis forense de los registros de IIS recuperados de los entornos de las víctimas revela rastros de intentos de explotación similares desde 2021. Esto implica que los actores de la amenaza han tardado varios meses en experimentar y lanzar el ataque.
∙ Junio 14: Clop comienza a nombrar a las víctimas en su sitio de filtración. Estas incluyen a varias agencias federales, instituciones de atención médica, financieras y educativas. La mayoría tienen su sede en los Estados Unidos y el Reino Unido.
∙ Junio 15: Progress continúa detectando nuevas vulnerabilidades (CVE-2023-35036, CVE-2023-35708) en MOVEit Transfer e implementa parches.
∙ Junio 16: Rewards for Justice, el programa de recompensas de seguridad nacional de los Estados Unidos, anuncia una recompensa de 10 millones de dólares por cualquier información que vincule las actividades de Clop con las influencias de gobiernos extranjeros.
Los usuarios del software #MOVEit son atacados a través de vulnerabilidades divulgadas públicamente. El FBI insta a los usuarios a seguir las mitigaciones recomendadas para protegerse contra la explotación. Si usted es víctima, informe a IC3.gov y escriba #MOVEit. https://t.co/gdAAURr3Yo pic.twitter.com/v5peUqvfA5
— FBI (@FBI) Junio 17, 2023
Los analistas de seguridad de todo el mundo creen que los web shells utilizados para la exfiltración de datos podrían haberse inyectado en los servidores de las víctimas días o incluso semanas antes del anuncio de Progress. Esto confirma que se trata de un ataque de vulnerabilidad de día cero.
Este incidente se une a la tendencia de las campañas masivas de la banda de ransomware Clop y sus grupos asociados dirigidos a las aplicaciones de intercambio de archivos.
∙ En 2021, la violación de datos de Accellion FTP explotó varias vulnerabilidades de día cero (CVE-2021-27101, CVE-2021-27102) en la aplicación. El recuento de víctimas se convirtió en una lista cada vez mayor. La organización finalmente dejó de publicar parches. Esto hizo que la aplicación no fuera apta para su uso.
∙ A principios de este año, se explotó la vulnerabilidad CVE-2023-0669 en GoAnywhere Managed File Transfer (MFT) de Fortra. Al igual que el exploit de MOVEit, los atacantes usaban la ejecución remota de código (RCE) a través de shells web. Desde entonces, los datos han sido extorsionados de más de 100 clientes. Estos incluyen bancos de alto perfil e instituciones sanitarias.
Consejo: ¿qué es un ataque de vulnerabilidad de día cero?
Los ataques de vulnerabilidad de día cero son lanzados por actores de amenazas que abusan de brechas de seguridad y riesgos de seguridad en aplicaciones y entornos de SO que aún no han sido descubiertos por los operadores. Incluso si los parches se publican inmediatamente, los actores de amenazas pueden colocar puertas traseras y continuar accediendo a la red.
Acceda a nuestro plan técnico contra ataques de día cero y obtenga más información sobre la protección contra ataques de día cero y detalles del exploit de MOVEit.
Resumen general del ataque
He aquí un resumen general del ataque a MOVEit:
-
Los actores de amenazas acceden a la interfaz web de la aplicación MOVEit.
-
Emplean un ataque de inyección SQL para implementar cargas útiles de malware en el servidor.
-
Usando técnicas de reconocimiento, los atacantes descubren el entorno y establecen un canal de comando y control.
-
Envían cargas útiles adicionales para escalar privilegios, moverse lateralmente, persistir y comprometer la red interna.
-
Los atacantes recopilan y filtran datos a través del canal C2C establecido.
-
Instalan puertas traseras adicionales para un acceso continuo.
Técnicas utilizadas en el ataque
Inyección de SQL: se trata de una vulnerabilidad web de uso común que implica enviar consultas SQL en lugar de entradas de usuario válidas para que se ejecuten en el back-end. Esto se hace con el fin de obtener el control de la base de datos. Los atacantes suelen experimentar enviando varias consultas maliciosas en los campos de entrada. Lo anterior conlleva a omitir la autenticación, recuperar información de la base de datos, alterar la base de datos, retrasar las respuestas de la base de datos e incluso lanzar un ataque de denegación de servicio (DoS). En el exploit de MOVEit, los actores de amenazas inyectaron archivos de shell web que contenían la carga útil de malware.
Uso de shells web: SQLi a RCE
Los archivos de shell web cargados en el servidor consisten en scripts de shell escritos en lenguajes de programación del lado del servidor. Mediante los comandos HTTP, el atacante establece el canal C2C y ejecuta los archivos cargados. Esto otorga acceso de shell inverso.
Por ejemplo:
Se trata de un comando de shell básico que devuelve detalles del usuario. Supongamos que el atacante ha agregado esto en un archivo llamado script1.php y lo ha subido al servidor de destino.
<?php
system(“whoami”);
?>
La siguiente consulta HTTP ejecutará el archivo. http://www.abc.com/app_2/?module=script1.php
Los actores de amenazas pueden emplear este método para ejecutar comandos complejos, aprender sobre el entorno, cargar scripts adicionales y exfiltrar datos.
Últimos avances y medidas inmediatas para las víctimas de ataques
Progress Software ha implementado parches y publicado indicadores de compromiso (IOC) de forma oportuna. Las empresas que usan MOVEit Transfer deben asegurarse de implementar las siguientes medidas:
-
Ponga la aplicación fuera de línea, desactive la conectividad de red y aísle el servidor.
-
Comience a auditar los archivos de aplicación, los usuarios y todos los eventos del pasado reciente recuperando y analizando los datos de log históricos:
∙ El archivo human2.aspx ha sido identificado como el shell web malicioso encontrado en los servidores de múltiples víctimas. Búsquelo y elimínelo.
∙ Busque nuevas adiciones de archivos en los siguientes directorios:
Directorio C:\MOVEitTransfer\wwwroot\ directory
Directorio C:\Windows\TEMP\[random]\ directory
Archivos APP_WEB_[random].dll en el directorio C:\Windows\Microsoft. Directorio NET\Framework64\[version]\Temporary ASP.NET Files\root\[random]\[random]\ directory
∙ Audite las consultas GET y POST en los registros de IIS.
Para localizar los archivos de registro de IIS, vaya a:
Explorador de archivos de Windows > unidad C > carpeta Inetpub > carpeta Logs > LogFiles
Utilice esta guía para acceder a los logs de transferencia de MOVEit.
3. Actualice el software MOVEit. La versión en la nube, MOVEit Cloud, ya ha sido actualizada. Para las instalaciones locales, restablezca las credenciales de la cuenta de servicio MOVEit y compruebe si hay actualizaciones de Progress para los parches más recientes.
Los expertos especulan que habrá más olas de explotación en este ataque en curso. Es absolutamente importante que los SOC continúen monitoreando los logs de sus entidades de red críticas para detectar actividades anómalas. Progress continúa agregando IOC adicionales. Estos incluyen archivos maliciosos, comandos, solicitudes y direcciones IP que se deben escanear. Use este documento para obtener detalles de las fuentes en la lista negra. Tras la detección, aísle el sistema afectado, desactive las cuentas de usuario, restablezca las contraseñas y actualice las reglas del firewall.
¿Cómo puede ayudar una herramienta SIEM?
Las soluciones de gestión de eventos e información de seguridad (SIEM) automatizan todo el proceso de recopilación de logs, análisis, indexación y generación de informes.
∙ Puede acceder a informes predefinidos de actividades del servidor IIS, informes de configuración del administrador, informes de errores e informes específicos de ataques del servidor web, como ataques de inyección SQL.
∙ Emplee alertas y correlación para hacer coincidir los patrones de ataque y detectar amenazas rápidamente.
∙ Identifique y bloquee fuentes maliciosas con la ayuda de la inteligencia de amenazas y la integración con fuentes de amenazas globales.
∙ Detecte anomalías en el comportamiento del usuario e intentos de exfiltración de datos con el análisis del comportamiento de entidades y usuarios (UEBA).
Explore las ventajas de la SIEM con una prueba gratuita de ManageEngine Log360.
