O ataque ao MOVEit e suas consequências

Se você não está familiarizado com o aplicativo corporativo de compartilhamento de arquivos MOVEit Transfer, ainda vale a pena estudar como ele foi hackeado – nem que seja por sua escala: centenas de organizações foram afetadas, incluindo, entre muitas outras, a Shell, a New York State Education Departamento, a BBC, Boots, Aer Lingus, British Airways, vários grandes provedores de saúde em todo o mundo, a Universidade da Geórgia e a Heidelberger Druck. De forma tanto irônica, quanto triste o MOVEit Transfer é apresentado por seus criadores como um “Software de transferência segura de arquivos gerenciados para empresas”, da Ipswitch (agora parte de uma empresa chamada Progress). É um sistema de transferência gerenciada de arquivos (MFT) que ajuda os funcionários a compartilhar arquivos grandes com contratados via SFTP, SCP e HTTP, oferecido como uma solução em nuvem ou local.
A série de incidentes representa um alerta para todos os responsáveis ​​pela segurança da informação em uma organização.

Como o MOVEit Transfer foi hackeado

Sem entrar em cada reviravolta do turbulento mês e meio dos usuários do MOVEit, abordaremos os principais eventos.
Relatórios sobre atividades suspeitas nas redes de muitas organizações que usaram o MOVEit Transfer começaram a surgir em 27 de maio de 2023. De acordo com uma investigação, agentes mal-intencionados estavam se aproveitando de uma vulnerabilidade desconhecida para roubar dados executando consultas SQL.

Em 31 de maio, a Progress lançou seu primeiro boletim de segurança, que resumia as atualizações lançadas até aquele momento e recomendava as etapas de correção. A empresa originalmente acreditava que o problema estava limitado a instalações locais, mas mais tarde descobriu-se que a versão em nuvem do MOVEit também foi afetada. O MOVEit Cloud foi temporariamente desligado para correções e investigações. Os pesquisadores do Rapid7 contaram um total de 2.500 servidores locais vulneráveis.

Em 2 de junho, a vulnerabilidade recebeu o identificador CVE-2023-34362 e uma pontuação CVSS de 9,8 (em 10). Os pesquisadores do incidente atribuíram a ameaça ao grupo de ransomware chamado cl0p. Pesquisadores da Kroll relataram em 9 de junho que o ataque ao MOVEit provavelmente estava sendo testado desde 2021. As investigações deixaram claro que a cadeia de ciberataque não terminava necessariamente em uma injeção de SQL e que poderia incluir a execução de código.

Vale reconhecer que a Progress foi além de corrigir o software. A empresa iniciou uma auditoria de código, possibilitando que a Huntress reproduzisse toda a cadeia de exploração e descobrisse outra vulnerabilidade, que seria corrigida em 9 de junho conforme anunciado no próximo boletim, denominada CVE-2023-35036. Antes que muitos administradores tivessem a chance de instalar essa patch, a própria Progress descobriu outro problema – CVE-2023-35708 – e o anunciou em seu boletim de 15 de junho. O MOVEit Cloud foi desligado novamente por dez horas para que as correções fossem aplicadas.

O dia 15 de junho também foi notável porque os hackers publicaram os detalhes de algumas das vítimas e iniciaram negociações de resgate. Dois dias depois, o governo dos Estados Unidos prometeu até US$ 10 milhões por informações sobre o grupo.

Em 26 de junho, a Progress anunciou que desativaria o MOVEit Cloud por três horas no dia 2 de julho para reforçar a segurança do servidor.

Em 6 de julho, os desenvolvedores publicaram outra atualização, que corrigiu mais três vulnerabilidades – uma delas crítica (CVE-2023-36934, CVE-2023-36932 e CVE-2023-36933).

Serviços de compartilhamento de arquivos como um vetor de ataque conveniente

O ataque MOVEit Transfer de maio não é o primeiro desse tipo. Uma série semelhante de ataques direcionados ao Fortra GoAnywhere MFT foi lançada em janeiro e, no final de 2020, ocorreu uma exploração massiva de uma vulnerabilidade no Accellion FTA.

Muitos ataques visam obter privilégios de acesso a servidores ou executar código arbitrário, o que também aconteceu neste caso, mas o objetivo dos hackers costuma ser executar um ataque rápido e de baixo risco para invadir bancos de dados de um serviço de compartilhamento de arquivos. Isso ajuda a roubar arquivos sem ser necessário aprofundar o ataque no sistema para ficar fora radar. Afinal, fazer o download de arquivos que deveriam ser baixados não é tão suspeito.

Enquanto isso, os bancos de dados de compartilhamento de arquivos tendem a coletar muitas informações verdadeiramente importantes. Por exemplo: uma vítima de ataque do MOVEit Transfer admitiu que o vazamento continha os dados de 45.000 estudantes universitários e escolares.

O que isso significa para as equipes de segurança é que aplicativos como esses e suas configurações precisam de atenção especial: as etapas a serem seguidas incluem limitar o acesso administrativo, bem como tomar medidas de segurança adicionais em relação ao gerenciamento de banco de dados e proteção de rede. As organizações devem promover a ciberhigiene entre os funcionários, ensinando-os a excluir arquivos do sistema de troca de arquivos assim que deixarem de precisar deles e compartilhar com apenas um número restrito de usuários.

Foco nos servidores

Para ciberinvasores que procuram roubar dados, os servidores são um alvo fácil, pois não são monitorados de perto e possuem muitos dados. Sem surpresa, além de explorar massivamente aplicativos populares do lado do servidor com ataques como ProxyShell ou ProxyNotShell, os hackers seguem caminhos menos percorridos dominando a criptografia de fazendas de servidores ESXi e bancos de dados Oracle ou experimentando serviços como o MOVEit Transfer, que são populares no mundo corporativo, mas menos conhecido do grande público. É por isso que os responsáveis por cibersegurança precisam manter os servidores sob vigilância:

• priorizar as patches em servidores
• usar uma solução EDR
• limitar alto privilégios de acesso
• proteger containers, máquinas virtuais e assim por diante

Se um aplicativo parece ter poucas vulnerabilidades, significa que ninguém as procurou

A necessidade de elencar prioridades sempre surge quando uma organização começa a discutir patches. As vulnerabilidades chegam às centenas e são impossíveis de corrigir em todos os lugares e de uma só vez, em todos os aplicativos e em todos os computadores. Portanto, os administradores do sistema precisam se concentrar nas vulnerabilidades mais perigosas – ou nas mais difundidas por afetar softwares populares. A história do MOVEit nos ensina que esse cenário é dinâmico: se você passou o último ano resolvendo falhas no Exchange ou em outros produtos da Microsoft, isso não significa que você precisa se concentrar principalmente nelas. É fundamental seguir as tendências de Inteligência de Ameaças e não apenas eliminar novas ameaças específicas, mas também prever seu possível impacto em sua organização.