MOVEit Transfer wird durch Zero-Day-Exploit angegriffen
Sicherheitsforscher von Rapid7 haben herausgefunden, dass Bedrohungsakteure eine Zero-Day-Schwachstelle im Produkt MOVEit Transfer von Progress Software ausnutzen, das von Unternehmen häufig für sichere Dateiübertragungen verwendet wird. Die Cyberkriminellen nutzen eine SQL-Injection-Schwachstelle (CVE-2023-34362) aus, um sich unbefugten Zugriff auf die Datenbank des Produkts zu verschaffen.
Die Sicherheitslücke ermöglicht es nicht authentifizierten Angreifern, in die Datenbank von MOVEit Transfer einzudringen und möglicherweise SQL-Anweisungen auszuführen, um kritische Datenbankelemente zu ändern oder zu löschen. Dies wurde von Progress Software bestätigt, die ein Advisory herausgegeben haben, in dem es heißt: "In der MOVEit Transfer-Webanwendung wurde eine SQL-Injection-Schwachstelle gefunden, die es einem nicht authentifizierten Angreifer ermöglichen könnte, unbefugten Zugriff auf die Datenbank von MOVEit Transfer zu erlangen."
Es betrifft alle Versionen von MOVEit Transfer, aber MOVEit Automation, MOVEit Client, MOVEit Add-in für Microsoft Outlook, MOVEit Mobile, WS_FTP Client, WS_FTP Server, MOVEit EZ, MOVEit Gateway, MOVEit Analytics und MOVEit Freely sind nicht betroffen.
Die Rapid7-Forscher gaben an, dass sie eine Webshell mit dem Namen "human2.aspx" im wwwroot-Ordner der angegriffenen Systeme entdeckt haben, was auf eine automatische Ausnutzung schließen lässt. Diese Webshell, die so konzipiert ist, dass sie unter den legitimen Dateien, die von der Webschnittstelle von MOVEit Transfer verwendet werden, unbemerkt bleibt, ist passwortgeschützt. Unbefugte Versuche, auf die Webshell zuzugreifen, führen zu einer 404 Not Found-Fehlermeldung, was auf einen möglichen Versuch hinweist, die bösartigen Aktivitäten zu verbergen.
Nach Angaben von Rapid7 waren bis zum 31. Mai mehr als 2.500 Instanzen von MOVEit Transfer im Internet öffentlich zugänglich, mit einer erheblichen Konzentration in den Vereinigten Staaten. In der Zwischenzeit hat Progress Software seinen Kunden Indikatoren für die Kompromittierung (Indicators of Compromise, IoCs) im Zusammenhang mit dem Angriff zur Verfügung gestellt und bittet darum, bei verdächtigen Aktivitäten sofort Kontakt mit ihren Sicherheits- und IT-Teams aufzunehmen.
Zu den Quellen für diesen Beitrag gehört ein Artikel in SecurityAffairs.