{"id":21544,"date":"2023-07-18T16:37:29","date_gmt":"2023-07-18T19:37:29","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=21544"},"modified":"2023-07-18T16:37:29","modified_gmt":"2023-07-18T19:37:29","slug":"moveit-transfer-attack-protection","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/moveit-transfer-attack-protection\/21544\/","title":{"rendered":"O ataque ao MOVEit e suas consequ\u00eancias"},"content":{"rendered":"

Se voc\u00ea n\u00e3o est\u00e1 familiarizado com o aplicativo corporativo de compartilhamento de arquivos MOVEit Transfer, ainda vale a pena estudar como ele foi hackeado \u2013 nem que seja por sua escala: centenas de organiza\u00e7\u00f5es foram afetadas, incluindo, entre muitas outras, a Shell, a New York State Education Departamento, a BBC<\/a>, Boots, Aer Lingus, British Airways, v\u00e1rios grandes provedores de sa\u00fade em todo o mundo, a Universidade da Ge\u00f3rgia e a Heidelberger Druck. De forma tanto ir\u00f4nica, quanto triste o MOVEit Transfer<\/a> \u00e9 apresentado por seus criadores como um \u201cSoftware de transfer\u00eancia segura de arquivos gerenciados para empresas\u201d, da Ipswitch (agora parte de uma empresa chamada Progress). \u00c9 um sistema de transfer\u00eancia gerenciada de arquivos (MFT) que ajuda os funcion\u00e1rios a compartilhar arquivos grandes com contratados via SFTP, SCP e HTTP, oferecido como uma solu\u00e7\u00e3o em nuvem ou local.
\nA s\u00e9rie de incidentes representa um alerta para todos os respons\u00e1veis \u200b\u200bpela seguran\u00e7a da informa\u00e7\u00e3o em uma organiza\u00e7\u00e3o.<\/p>\n

Como o MOVEit Transfer foi hackeado<\/h2>\n

Sem entrar em cada reviravolta do turbulento m\u00eas e meio dos usu\u00e1rios do MOVEit, abordaremos os principais eventos.
\nRelat\u00f3rios sobre atividades suspeitas nas redes de muitas organiza\u00e7\u00f5es que usaram o MOVEit Transfer come\u00e7aram a surgir em 27 de maio de 2023. De acordo com uma investiga\u00e7\u00e3o, agentes mal-intencionados estavam se aproveitando de uma vulnerabilidade desconhecida para roubar dados executando consultas SQL.<\/p>\n

Em 31 de maio, a Progress lan\u00e7ou seu primeiro boletim de seguran\u00e7a<\/a>, que resumia as atualiza\u00e7\u00f5es lan\u00e7adas at\u00e9 aquele momento e recomendava as etapas de corre\u00e7\u00e3o. A empresa originalmente acreditava que o problema estava limitado a instala\u00e7\u00f5es locais, mas mais tarde descobriu-se que a vers\u00e3o em nuvem do MOVEit tamb\u00e9m foi afetada<\/a>. O MOVEit Cloud foi temporariamente desligado<\/a> para corre\u00e7\u00f5es e investiga\u00e7\u00f5es. Os pesquisadores do Rapid7 contaram<\/a> um total de 2.500 servidores locais vulner\u00e1veis.<\/p>\n

Em 2 de junho, a vulnerabilidade recebeu o identificador CVE-2023-34362<\/a> e uma pontua\u00e7\u00e3o CVSS de 9,8 (em 10). Os pesquisadores do incidente atribu\u00edram<\/a> a amea\u00e7a ao grupo de ransomware chamado cl0p. Pesquisadores da Kroll relataram em 9 de junho que o ataque ao MOVEit provavelmente estava sendo testado desde 2021<\/a>. As investiga\u00e7\u00f5es deixaram claro que a cadeia de ciberataque n\u00e3o terminava necessariamente em uma inje\u00e7\u00e3o de SQL e que poderia incluir a execu\u00e7\u00e3o de c\u00f3digo.<\/p>\n

Vale reconhecer que a Progress foi al\u00e9m de corrigir o software. A empresa iniciou uma auditoria de c\u00f3digo, possibilitando que a Huntress reproduzisse toda a cadeia de explora\u00e7\u00e3o e descobrisse outra vulnerabilidade, que seria corrigida em 9 de junho conforme anunciado no pr\u00f3ximo boletim<\/a>, denominada CVE-2023-35036<\/a>. Antes que muitos administradores tivessem a chance de instalar essa patch, a pr\u00f3pria Progress descobriu outro problema \u2013 CVE-2023-35708<\/a> \u2013 e o anunciou em seu boletim de 15 de junho<\/a>. O MOVEit Cloud foi desligado novamente por dez horas<\/a> para que as corre\u00e7\u00f5es fossem aplicadas.<\/p>\n

O dia 15 de junho tamb\u00e9m foi not\u00e1vel porque os hackers publicaram os detalhes de algumas das v\u00edtimas e iniciaram negocia\u00e7\u00f5es de resgate<\/a>. Dois dias depois, o governo dos Estados Unidos prometeu at\u00e9 US$ 10 milh\u00f5es<\/a> por informa\u00e7\u00f5es sobre o grupo.<\/p>\n

Em 26 de junho, a Progress anunciou que desativaria o MOVEit Cloud por tr\u00eas horas no dia 2 de julho para refor\u00e7ar a seguran\u00e7a do servidor.<\/p>\n

Em 6 de julho, os desenvolvedores publicaram outra atualiza\u00e7\u00e3o, que corrigiu mais tr\u00eas vulnerabilidades \u2013 uma delas cr\u00edtica (CVE-2023-36934<\/a>, CVE-2023-36932<\/a> e CVE-2023-36933<\/a>).<\/p>\n

Servi\u00e7os de compartilhamento de arquivos como um vetor de ataque conveniente<\/h2>\n

O ataque MOVEit Transfer de maio n\u00e3o \u00e9 o primeiro desse tipo. Uma s\u00e9rie semelhante de ataques direcionados ao Fortra GoAnywhere MFT<\/a> foi lan\u00e7ada em janeiro e, no final de 2020, ocorreu uma explora\u00e7\u00e3o massiva de uma vulnerabilidade no Accellion FTA<\/a>.<\/p>\n

Muitos ataques visam obter privil\u00e9gios de acesso a servidores ou executar c\u00f3digo arbitr\u00e1rio, o que tamb\u00e9m aconteceu neste caso, mas o objetivo dos hackers costuma ser executar um ataque r\u00e1pido e de baixo risco para invadir bancos de dados de um servi\u00e7o de compartilhamento de arquivos. Isso ajuda a roubar arquivos sem ser necess\u00e1rio aprofundar o ataque no sistema para ficar fora radar. Afinal, fazer o download de arquivos que deveriam ser baixados n\u00e3o \u00e9 t\u00e3o suspeito.<\/p>\n

Enquanto isso, os bancos de dados de compartilhamento de arquivos tendem a coletar muitas informa\u00e7\u00f5es verdadeiramente importantes. Por exemplo: uma v\u00edtima de ataque do MOVEit Transfer admitiu que o vazamento continha os dados de 45.000 estudantes universit\u00e1rios e escolares<\/a>.<\/p>\n

O que isso significa para as equipes de seguran\u00e7a \u00e9 que aplicativos como esses e suas configura\u00e7\u00f5es precisam de aten\u00e7\u00e3o especial: as etapas a serem seguidas incluem limitar o acesso administrativo, bem como tomar medidas de seguran\u00e7a adicionais em rela\u00e7\u00e3o ao gerenciamento de banco de dados e prote\u00e7\u00e3o de rede. As organiza\u00e7\u00f5es devem promover a ciberhigiene entre os funcion\u00e1rios, ensinando-os a excluir arquivos do sistema de troca de arquivos assim que deixarem de precisar deles e compartilhar com apenas um n\u00famero restrito de usu\u00e1rios.<\/p>\n

Foco nos servidores<\/h2>\n

Para ciberinvasores que procuram roubar dados, os servidores s\u00e3o um alvo f\u00e1cil, pois n\u00e3o s\u00e3o monitorados de perto e possuem muitos dados. Sem surpresa, al\u00e9m de explorar massivamente aplicativos populares do lado do servidor com ataques como ProxyShell ou ProxyNotShell<\/a>, os hackers seguem caminhos menos percorridos dominando a criptografia de fazendas de servidores ESXi<\/a> e bancos de dados Oracle<\/a> ou experimentando servi\u00e7os como o MOVEit Transfer, que s\u00e3o populares no mundo corporativo, mas menos conhecido do grande p\u00fablico. \u00c9 por isso que os respons\u00e1veis por ciberseguran\u00e7a precisam manter os servidores sob vigil\u00e2ncia:<\/p>\n