Diversi ricercatori di sicurezza hanno rilevato exploit che sfruttano una vulnerabilità zero-day di MOVEit Transfer. Lo sviluppatore (Progress Software) ha confermano il problema a fine maggio e rilasciato le patch per tutte le versioni interessate, ma sono già avvenuti attacchi che hanno portato al furto di dati aziendali e alle richieste di riscatto a scopo estorsivo.
Installare subito la patch
MOVEit Transfer è una soluzione MFT (Managed File Transfer) che consente alle aziende di trasferire i file in modo sicuro. È disponibile in due varianti: on-premise (gestita dal cliente) e cloud (gestita da Progress Software). La vulnerabilità di tipo “SQL Injection”, indicata con CVE-2023-34362 e presente nell’applicazione web, consente ad un malintenzionato di accedere al database.
Gli exploit in circolazione permettono di recuperare informazioni sulla struttura e il contenuto del database, oltre che di eseguire istruzioni SQL per modificare o cancellare i dati. Effettuando una ricerca con Shodan si trovano almeno 2.500 server vulnerabili, sui quali è stata installata una webshell (denominata LEMURLOOT da Mandiant) nelle directory pubblica C:\MOVEit Transfer\wwwroot\
.
Utilizzando vari comandi è possibile ottenere l’elenco di file, directory e utenti, scaricare i dati e installare una backdoor che garantisce la persistenza. Diverse aziende hanno già subito il furto dei dati, ma al momento non si segnalano richieste di riscatto.
Progress Software consiglia di bloccare il traffico HTTP e HTTPS sulle porte 80 e 443 prima dell’applicazione delle patch, cancellare ogni utente non autorizzato e i file sospetti, resettare le credenziali degli account e infine installare le ultime versioni di MOVEit Transfer, ovvero 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5) e 2023.0.1 (15.0.1).
Aggiornamento (5/06/2023): Microsoft ha attribuito gli attacchi al gruppo Lace Tempest, noto per il ransomware Clop.