Zero-Day Sicherheitslücke bei MOVEit Transfer
von Tina Siering
Achtung: Alle Versionen von MOVEit Transfer von Schwachstelle akut betroffen
BSI IT-Bedrohungslage: 3/orange!
Angreifer nutzen derzeit aktiv eine Sicherheitslücke von Ipswitch (Tochtergesellschaft der US-amerikanischen Progress Software Corporation) aus (CVE-2023-34362) )und verschaffen sich Datenzugriff, wenn etwa Unternehmen Dokumente mit MOVEit, der Managed File Transfer (MFT)-Lösung austauschen.
Je nach der verwendeten Datenbank-Engine (MySQL, Microsoft SQL Server oder Azure SQL) kann ein Angreifer möglicherweise Erkenntnis über Struktur und Inhalt der Datenbank erlangen, SQL-Anweisungen ausführen und Datenbankelemente ändern oder löschen.
Es ist noch unklar, wann die Schwachstelle ausgenutzt wurde und welche Bedrohungsakteure hinter den Angriffen stecken, aber es sollen bereits zahlreiche Organisationen angegriffen und Daten gestohlen worden sein.
Dringende Handlungsempfehlungen seitens des Herstellers:
1. Deaktivieren Sie den gesamten HTTP- und HTTPs-Datenverkehr zu Ihrer MOVEit Transfer-Umgebung.
Ändern Sie insbesondere die Firewall-Regeln so, dass der HTTP- und HTTPs-Datenverkehr zu MOVEit Transfer auf den Ports 80 und 443 blockiert wird, bis gepatcht werden kann. Diese Deaktivierung hat jedoch die folgenden Einschränkungen:
- Benutzer können sich nicht an der MOVEit Transfer-Web-Benutzeroberfläche anmelden.
- MOVEit Automation-Aufgaben, die den nativen MOVEit Transfer-Host verwenden, funktionieren nicht.
- REST-, Java- und .NET-APIs funktionieren nicht.
- Das MOVEit Transfer-Add-In für Outlook wird nicht funktionieren.
Die Protokolle SFTP und FTP/s funktionieren wie gewohnt. Administratoren können weiterhin auf MOVEit Transfer zugreifen, indem sie einen Remote-Desktop für den Zugriff auf den Windows-Rechner verwenden und dann auf https://localhost/ zugreifen.
2. Löschen von nicht autorisierte Dateien und Benutzerkonten
• Löschen Sie alle Instanzen der Skriptdateien human2.aspx und .cmdline.
• Suchen Sie auf dem MOVEit Transfer-Server nach allen neuen Dateien, die im Verzeichnis C:\MOVEitTransfer\wwwroot\ erstellt wurden.
• Suchen Sie auf dem MOVEit Transfer-Server nach neuen Dateien, die im Verzeichnis C:\Windows\TEMP\[random]\ mit der Dateierweiterung [.]cmdline
• Entfernen Sie alle nicht autorisierten Benutzerkonten.
• Überprüfen Sie die Protokolle auf unerwartete Downloads von Dateien von unbekannten IPs oder auf eine große Anzahl von heruntergeladenen Dateien.
3. Anmeldeinformationen zurücksetzen
• Setzen Sie die Anmeldeinformationen des Dienstkontos für die betroffenen Systeme und das MOVEit-Adminkonto zurück.
4. Patches anwenden
Im Folgenden finden Sie Patches für alle unterstützten MOVEit Transfer-Versionen:
Affected Version | Fixed Version | Documentation |
MOVEit Transfer 2023.0.0 (15.0) | MOVEit Transfer 2023.0.1 | MOVEit 2023 Upgrade Documentation |
MOVEit Transfer 2022.1.x (14.1) | MOVEit Transfer 2022.1.5 | MOVEit 2022 Upgrade Documentation |
MOVEit Transfer 2022.0.x (14.0) | MOVEit Transfer 2022.0.4 | MOVEit 2022 Upgrade Documentation |
MOVEit Transfer 2021.1.x (13.1) | MOVEit Transfer 2021.1.4 | MOVEit 2021 Upgrade Documentation |
MOVEit Transfer 2021.0.x (13.0) | MOVEit Transfer 2021.0.6 | MOVEit 2021 Upgrade Documentation |
MOVEit Transfer 2020.1.x (12.1) | Special Patch Available | See KB 000234559 |
MOVEit Transfer 2020.0.x (12.0) or older | MUST upgrade to a supported version | See MOVEit Transfer Upgrade and Migration Guide |
MOVEit Cloud | MOVEit Transfer 14.1.4.94 MOVEit Transfer 14.0.3.42 |
All MOVEit Cloud systems are fully patched at this time. Cloud Status Page |
5. Nach erfolgreichem Sicherheitsupdate(s): Aktivieren Sie den gesamten HTTP- und HTTPs-Datenverkehr zu Ihrer MOVEit Transfer-Umgebung.
Weiterführende Informationen und Dokumentation finden sich hier.
Fazit
Falls Sie die Transfer Lösung von MOVEit nutzen, installieren Sie unverzüglich die vom Hersteller bereitsgestellten Updates und befolgen Sie die obigen Ratschläge. Bleiben Sie weiter wachsam und sorgen Sie für die nötige Awareness und gezieltes Monitoring Ihrer Umgebung. Testen Sie Ihre Detektionsstrategien und Response-Prozesse.
Update 06.06.2023
Der Hersteller hat weitere IoCs in seinem Advisory bereitgestellt, die genutzt werden sollten, um auf eine Kompromittierung zu prüfen.
Update 16.06.2023
Diese Woche wurde bekannt, dass die Ransomware-Gang Cl0p die Sicherheitslücke massiv ausgenutzt und einige Unternehmen erpresst hat.
Die Cybergang Cl0p nannte in diesem Zusammenhang Unternehmen, bei denen es ihr gelungen war, über die bestehende Lücke einzudringen und Daten zu stehlen. Darunter befinden sich bekannte Namen wie Shell oder Heidelberger Druckmaschinen, die allerdings nur namentlich und mit Adresse genannt wurden, ohne Belege oder Angaben über Art und Umfang der kopierten Daten.
Ein entsprechendes Statement wurde auf der Darknet-Seite der Cl0p-Gang veröffentlicht. Außerdem wird darauf hingewiesen, dass die Cybergang nicht an Regierungsdaten interessiert sei und solche Daten gelöscht habe.
Update 06.07.2023
Wie Anfang Juli bekannt wurde, wurde auch deutsche Energietechnik-Konzern Siemens Energy wurde von der Hackergruppe «CL0p» über die MoveiT-Schwachstelle angegriffen.