General

L'impatto e le conseguenze della violazione di MOVEit: come puoi rispondere? (CVE-2023-34362)

ResilientX

La recente violazione di MOVEit potrebbe essere considerata uno degli sfruttamenti di maggiore impatto di una vulnerabilità zero-day mai scoperta. Gli effetti continuano a diffondersi in tutto il mondo, con nuove vittime che arrivano quasi ogni settimana. Nelle ultime settimane importanti organizzazioni come il New York City Department of Education, l'UCLA, Siemens Energy e Big 4 hanno annunciato tutte di essere state colpite dalla vulnerabilità.

La portata dello sfruttamento di MOVEit appare enorme, con un impatto su almeno 122 organizzazioni finora ed esponendo i dati personali di circa 15 milioni di persone. Queste cifre provengono direttamente dai post pubblicati da CL0P, il gruppo di ransomware russo che rivendica la responsabilità degli attacchi.

Comprensione dell'attacco CL0P SQL I metodi dell'aggressore sono venuti alla luce per la prima volta il 27 maggio 2023, quando la DHS Cybersecurity and Infrastructure Security Agency (CISA) ha pubblicato un avviso. Secondo il CISA, il gruppo CL0P (noto anche come TA505) ha iniziato a sfruttare una falla di SQL injection precedentemente sconosciuta nella soluzione di trasferimento file gestito MoveIt Transfer di Progress Software, tracciata come CVE-2023-34362.

Nell'attacco, le applicazioni web MOVEit Transfer rivolte a Internet sono state infettate da una shell web denominata LEMURLOOT. Gli autori delle minacce hanno quindi utilizzato questa backdoor per estrarre dati dai database MOVEit Transfer sottostanti. Subito dopo la comparsa dei segni dell'attacco, Progress ha rilasciato una patch che corregge la vulnerabilità.

Tuttavia, alcuni utenti di MOVEit continuano a subire violazioni perché non hanno ancora installato la patch sulle loro reti. Questa situazione sottolinea l'importanza di un'intelligence efficace sulle minacce e di disporre di una chiara strategia di patch.

Finora, nessun settore sembra essere sfuggito agli effetti di questa dannosa campagna CL0P. Dozzine di enti del settore pubblico e privato sono stati confermati come vittime, tra cui i servizi di gestione delle retribuzioni, i rivenditori, le principali compagnie aeree, gli uffici governativi, due strutture del Dipartimento dell'Energia e gli stati del Missouri e dell'Illinois.

«La nostra revisione dei file interessati è in corso, ma i risultati preliminari mostrano che circa 45.000 studenti sono stati colpiti, oltre al personale del DOE e ai relativi fornitori di servizi», ha dichiarato Emma Vadehra, COO del Dipartimento dell'Istruzione di New York City. «È stato possibile accedere a circa 19.000 documenti senza autorizzazione. I tipi di dati interessati includono i numeri di previdenza sociale e i numeri identificativi dei dipendenti».

Cos'è un attacco SQL injection?


SQL è un linguaggio di programmazione comunemente utilizzato per la gestione e la manipolazione dei database. Una vulnerabilità di SQL injection è una falla di sicurezza in un'applicazione Web che consente a un utente malintenzionato di interferire con il database dell'applicazione iniettando istruzioni SQL dannose.

In un attacco SQL injection, l'autore della minaccia sfrutta una gestione impropria degli input forniti dall'utente all'interno delle query SQL dell'applicazione. Inserendo codice SQL dannoso in campi di input come moduli o parametri URL, l'aggressore può modificare il comportamento previsto della query SQL.

Ad esempio, considera un sito Web con un modulo di accesso in cui gli utenti inseriscono nome utente e password. L'applicazione potrebbe creare una query SQL utilizzando l'input fornito per verificare se l'utente esiste nel database e convalidare le proprie credenziali. Tuttavia, se l'applicazione non riesce a convalidare o disinfettare correttamente l'input dell'utente, un utente malintenzionato potrebbe creare input alterando la logica della query o estendendone l'ambito.

Secondo OWASP, le principali conseguenze di un attacco SQL injection riuscito includono:

  • Perdita di riservatezza: poiché i database SQL contengono spesso dati sensibili, la perdita di riservatezza è un problema frequente con i difetti di SQL injection.
  • Autenticazione compromessa: comandi SQL mal costruiti per il controllo di nomi utente e password potrebbero consentire a un utente malintenzionato di connettersi a un sistema come un altro utente senza conoscere la password.
  • Accesso non autorizzato: se i dettagli di autorizzazione sono archiviati in un database SQL, potrebbe essere possibile modificare questi dati e ottenere l'accesso non autorizzato tramite un attacco SQL injection.
  • Perdita dell'integrità dei dati: oltre a leggere informazioni sensibili, gli aggressori potrebbero essere in grado di modificare o addirittura eliminare i dati tramite SQL injection.

Mitigazione dell'attacco MOVEit I principali consigli della CISA per rispondere alla vulnerabilità MOVEit sono:

  • Inventariate risorse e dati, identificando dispositivi e software autorizzati e non autorizzati.
  • Concedi i privilegi di amministratore solo quando necessario, stabilendo un elenco di software consentiti che consenta l'esecuzione solo di applicazioni legittime.
  • Monitora porte, protocolli e servizi di rete, attivando le configurazioni di sicurezza sui dispositivi di rete come firewall e router.
  • Applica regolarmente patch e aggiorna il software alle versioni più recenti ed esegui scansioni periodiche delle vulnerabilità.

Tuttavia, anche se la tua organizzazione non utilizza MOVEit, i tuoi fornitori potrebbero risentirne, esponendoti a rischi. Contattate tutti i fornitori per chiedere se utilizzano MOVEit e quali misure hanno adottato in risposta alla vulnerabilità. Rivedi anche i contratti con i fornitori per le clausole di notifica delle violazioni dei dati per garantire che i fornitori rispettino gli obblighi.

Potresti anche voler esplorare i servizi di risposta agli incidenti per assicurarti di ricevere supporto in caso di violazione. Con l'aiuto di esperti come ResilientX Security, puoi contenere gli attacchi più velocemente e ridurre al minimo i danni.

Contattaci all'indirizzo: sos@resilientx.com

I federali hanno twittato una ricompensa di 10 milioni di dollari per informazioni Nel frattempo, la CISA e l'FBI hanno twittato una ricompensa di 10 milioni di dollari per qualsiasi informazione sulla banda di ransomware CL0P.

Il tweet del programma Rewards for Justice del Dipartimento di Stato recita: «Ricompensa fino a 10 milioni di dollari. Per informazioni sull'identificazione o l'ubicazione di qualsiasi persona che, mentre agisce sotto la direzione o sotto il controllo di un governo straniero, partecipa ad attività informatiche dannose contro le infrastrutture critiche degli Stati Uniti in violazione del Computer Fraud and Abuse Act. Inviaci le tue informazioni su Signal, Telegram, WhatsApp o tramite la nostra linea di suggerimenti basata su Tor qui sotto».

Prevenzione degli exploit zero-day


Ecco le misure proattive che le organizzazioni possono adottare per scoprire le vulnerabilità e ridurre l'impatto degli attacchi zero-day:

  • Gestione delle patch: la gestione formale delle patch aiuta i team di sicurezza a rimanere consapevoli delle patch critiche.
  • Gestione delle vulnerabilità: le valutazioni delle vulnerabilità e i test di penetrazione possono rilevare i difetti zero-day prima che gli aggressori li sfruttino.
  • Gestione della superficie di attacco: ASM consente ai team di sicurezza di identificare tutte le risorse di rete e di scansionarle per individuare le vulnerabilità dal punto di vista dell'aggressore.
  • Intelligenza sulle minacce: i ricercatori di sicurezza spesso identificano per primi i difetti zero-day. Gli aggiornamenti tempestivi delle informazioni sulle minacce possono fornire avvisi tempestivi.
  • Rilevamento delle anomalie: strumenti di machine learning come UEBA, XDR, EDR e alcuni IDS/IPS possono individuare attività sospette che indicano attacchi.

I danni causati dalla violazione di MOVEit continuano a diffondersi in lungo e in largo. Per prevenire attacchi zero-day simili in futuro, i team di sicurezza devono rimanere vigili con funzionalità di monitoraggio e risposta continue.

Related Blog Posts
No items found.
Related Blog Posts
No items found.