Le chaos de MOVEit : Attaquants découverts, correctif publié, mais pas de fin en vue

Guide des administrateurs informatiques | July 5, 2023 | 6 min read

L’ensemble du secteur de la cybersécurité est en ébullition à cause des vulnérabilités de type “zero-day” et des attaques par injection SQL dues à la faille de MOVEit Transfer MFT. Au cas où vous l’auriez manquée, voici l’histoire, la chronologie des événements et les dernières mises à jour.

Le 31 mai 2023, Progress Software a déployé des correctifs de sécurité pour la vulnérabilité par injection SQL récemment découverte dans son application de partage de fichiers, MOVEit Transfer. Depuis lors, la nouvelle de nouveaux exploits “zero-day” de l’application et des spéculations sur l’ampleur de l’attaque sont apparues quotidiennement. De nombreuses organisations, dont British Airways et la BBC, rejoignent la liste croissante des victimes de pertes de données.

Voici la chronologie de l’attaque :

Phase 1 – Découverte après l’exploitation

  • 31 mai : Progress publie les détails de la vulnérabilité ainsi que les correctifs de sécurité.

  • 1er juin : L’Agence pour la cybersécurité et la sécurité des infrastructures (CISA) émet une alerte officielle aux utilisateurs de l’application au sujet d’une exploitation potentielle.

  • 2 juin : MITRE attribue à la vulnérabilité un CVE-ID (CVE-2023-34362).

  • 5 juin : Microsoft Threat Intelligence publie un message sur son compte Twitter accusant Lace Tempest (alias TA505, FIN11), un groupe d’adversaires principalement connu pour mener des campagnes de ransomware Clop, d’être responsable des attaques.

  • 6 juin : Zellis, un logiciel de paie basé au Royaume-Uni, annonce un incident de cybersécurité dû à la vulnérabilité MOVEit, qui a conduit ses clients les plus connus à devenir la cible de violations de données. Il s’agit d’un cas de risque pour les tiers causé par les vulnérabilités dans les interactions avec les parties liées (RPI).

Phase 2 – Les demandes de rançon et la liste croissante des victimes

  • 7 juin : Les plateformes de renseignement sur les menaces et les chercheurs commencent à rapporter des détails sur les demandes de rançon de Clop, qui exigent que les organisations les contactent par courrier électronique et trouvent un accord dans un délai de 10 jours. Ils affirment que le non-respect de cette exigence entraînera une fuite massive de données.

  • 8 juin : L’analyse judiciaire des journaux IIS récupérés dans les environnements des victimes révèle des traces de tentatives d’exploitation similaires depuis 2021, ce qui implique que les acteurs de la menace ont pris plusieurs mois pour expérimenter et lancer l’attaque.

  • 14 juin : Clop commence  à nommer les victimes sur son site de fuite, qui comprend plusieurs agences fédérales, des institutions de santé, de finance et d’éducation principalement basées aux États-Unis et au Royaume-Uni.

  • 15 juin : Progress continue de découvrir de nouvelles vulnérabilités (CVE-2023-35036, CVE-2023-35708)  dans MOVEit Transfer et déploie des correctifs.

  • 16 juin : Rewards for Justice, le programme américain de récompenses pour la sécurité nationale, annonce une prime de 10 millions de dollars pour toute information reliant les activités de Clop à des influences de gouvernements étrangers.

Les utilisateurs du logiciel #MOVEit sont attaqués par des vulnérabilités rendues publiques. Le FBI recommande vivement aux utilisateurs de suivre les mesures d’atténuation recommandées pour se protéger contre l’exploitation. Si vous êtes victime d’une attaque, signalez-la à IC3.gov et mentionnez #MOVEit.

https://t.co/gdAAURr3Yo pic.twitter.com/v5peUqvfA5

FBI (@FBI) 17 juin 2023

Les analystes en sécurité du monde entier pensent que les shells web utilisés pour l’exfiltration des données pourraient avoir été injectés dans les serveurs des victimes plusieurs jours, voire plusieurs semaines, avant l’annonce de Progress, ce qui confirme qu’il s’agit d’une attaque par vulnérabilité de type “zero-day” (jour zéro).

Cet incident s’inscrit dans la tendance des campagnes de masse menées par le gang du ransomware Clop et ses groupes associés, qui ciblent les applications de partage de fichiers.

  • En 2021, la violation de données FTP d’Accellion a exploité plusieurs vulnérabilités de type “zero-day” (CVE-2021-27101, CVE-2021-27102) dans l’application. Le nombre de victimes n’a cessé de croître et l’organisation a finalement cessé de publier des correctifs, rendant l’application impropre à l’utilisation.

  • Au début de cette année, la vulnérabilité CVE-2023-0669 dans GoAnywhere Managed File Transfer (MFT) de Fortra a été exploitée. À l’instar de l’exploit MOVEit, les attaquants ont eu recours à l’exécution de code à distance (RCE) par le biais de shells web. Depuis, des données ont été extorquées à plus de 100 clients, dont des banques et des établissements de santé de premier plan.

Conseil : Qu’est-ce qu’une attaque par vulnérabilité de type “zero-day” ?

Les acteurs de la menace lancent des attaques par vulnérabilité de type “jour zéro” en exploitant les failles et les risques de sécurité dans les applications et les environnements OS qui n’ont pas encore été découverts par les opérateurs. Même si les correctifs sont publiés immédiatement, les acteurs de la menace peuvent installer des portes dérobées et continuer à accéder au réseau.

Vue d’ensemble de l’attaque

Voici un aperçu de l’attaque MOVEit :

  1. Les acteurs de la menace accèdent à l’interface web de l’application MOVEit.

  2. Ils utilisent une attaque par injection SQL pour implanter des charges utiles de logiciels malveillants dans le serveur.

  3. En utilisant des techniques de reconnaissance, les attaquants découvrent l’environnement et établissent un canal de commande et de contrôle.

  4. Ils envoient d’autres charges utiles pour élever les privilèges, se déplacer latéralement, persister et compromettre le réseau interne.

  5. Les attaquants collectent et exfiltrent des données par le biais du canal C2C établi.

  6. Ils installent d’autres portes dérobées pour continuer à accéder au réseau.

Techniques utilisées dans l’attaque

Injection SQL : Il s’agit d’une vulnérabilité web couramment exploitée qui consiste à soumettre des requêtes SQL à la place d’entrées utilisateur valides pour les faire exécuter dans le back-end afin de prendre le contrôle de la base de données. Les attaquants expérimentent généralement en soumettant diverses requêtes malveillantes dans les champs de saisie, ce qui permet de contourner l’authentification, d’extraire des informations de la base de données, de modifier la base de données, de retarder les réponses de la base de données et même de lancer une attaque par déni de service. Dans l’exploit MOVEit, les acteurs de la menace ont injecté des fichiers webshell contenant la charge utile du logiciel malveillant.

Utilisation de shells web : SQLi à RCE

Les fichiers webshell téléchargés sur le serveur consistent en des scripts shell écrits dans des langages de programmation côté serveur. Grâce à l’utilisation de commandes HTTP, l’attaquant établit le canal C2C et exécute les fichiers téléchargés. Il obtient ainsi un accès au shell inversé.

Voici un exemple :

Il s’agit d’une commande shell de base qui renvoie des informations sur l’utilisateur. Supposons que l’attaquant ait ajouté cette commande dans un fichier appelé script1.php et qu’il l’ait téléchargée sur le serveur cible.

<?php
system(“whoami”);
?>

La requête HTTP suivante exécutera le fichier.http://www.abc.com/app_2/?module=script1.php

Les acteurs de la menace peuvent utiliser cette méthode pour exécuter des commandes complexes, se renseigner sur l’environnement, télécharger des scripts supplémentaires et exfiltrer des données.

Dernières avancées et mesures immédiates pour les victimes d’attentats

Progress Software a été prompt à déployer des correctifs et à publier des indicateurs de compromission (IOC). Les organisations qui utilisent MOVEit Transfer doivent s’assurer qu’elles mettent en œuvre les mesures suivantes :

  1. Mettez l’application hors ligne, désactivez la connectivité réseau et isolez le serveur.

  2. Commencez à auditer les fichiers de l’application, les utilisateurs et tous les événements récents en récupérant et en analysant les données du journal historique :

  • Le fichier human2.aspx a été déclaré comme étant le shell web malveillant trouvé dans les serveurs de plusieurs victimes. Recherchez ce fichier et supprimez-le.

  • Recherchez les nouveaux fichiers ajoutés dans les répertoires suivants :C:\MOVEitTransfer\wwwroot\ directory

C:\Windows\TEMP\[random]\ directory

APP_WEB_[random].dll files in

C:\Windows\Microsoft. NET\Framework64\[version]\Temporary ASP.NET Files\root\[random]\[random]\ directory

  • Vérifiez les requêtes GET et POST dans les journaux IIS.

  • Pour localiser les fichiers journaux IIS, allez dans

  Explorateur de fichiers Windows > C Drive > dossier Inetpub > dossier Logs > LogFiles

Utilisez ce guide pour accéder aux journaux de transfert MOVEit.

     3. Mettre à jour le logiciel MOVEit. La version cloud, MOVEit Cloud, a déjà été mise à jour. Pour les installations sur site, réinitialisez les identifiants du compte de service MOVEit et vérifiez les mises à jour de Progress pour les derniers correctifs.

 

Les experts estiment qu’il y aura d’autres vagues d’exploitation dans le cadre de cette attaque en cours. Il est absolument important pour les SOC de continuer à surveiller les journaux de leurs entités réseau critiques afin de détecter les activités anormales. Progress continue d’ajouter d’autres IOC, notamment des fichiers malveillants, des commandes, des requêtes et des adresses IP à rechercher. Utilisez ce document pour obtenir des détails sur les sources figurant sur la liste noire. En cas de détection, isolez le système affecté, désactivez les comptes d’utilisateurs, réinitialisez les mots de passe et mettez à jour les règles du pare-feu.

Quelle est l’utilité d’un système de gestion des informations et des événements de sécurité (SIEM) ?

Les solutions de gestion des événements et des informations de sécurité (SIEM) automatisent l’ensemble du processus de collecte, d’analyse, d’indexation et de génération de rapports.

  • Vous pouvez accéder à des rapports prédéfinis sur les activités du serveur IIS, à des rapports sur la configuration de l’administrateur, à des rapports d’erreur et à des rapports spécifiques sur les attaques du serveur web, telles que les attaques par injection SQL.

  • Utilisez les alertes et la corrélation pour faire correspondre les modèles d’attaque et détecter rapidement les menaces.

  • Identifiez et bloquez les sources malveillantes à l’aide de renseignements sur les menaces et de l’intégration de flux de menaces globaux.

  • Détectez les anomalies dans le comportement des utilisateurs et les tentatives d’exfiltration de données grâce à l’analyse des entités et du comportement des utilisateurs (UEBA).

Découvrez les avantages du SIEM grâce à un essai gratuit de Log360.

 Source : MOVEit mayhem: Attackers found, patch released, but no end in sight   by Deepeka

Tags : log 360 / MOVEit / SIEM
safaa dounas