Transfert MOVEit exploité pour déposer un fichier

Par Alex Delamotte et James Haughom

SentinelOne a observé une exploitation à l'état sauvage (ITW) de CVE-2023-34362, une vulnérabilité dans l'application serveur de transfert de fichiers MOVEit. L'attaque fournit une charge utile Microsoft IIS .aspx qui permet une interaction limitée entre le serveur Web affecté et le stockage d'objets blob Azure connecté. Le 5 juin, le groupe de rançongiciels Cl0p a revendiqué la responsabilité de ces attaques, bien que SentinelOne note que le ciblage d'une vulnérabilité d'application de transfert de fichiers ressemble à une autre exploitation menée par des acteurs motivés financièrement au début de 2023.

Dans cet article, nous fournissons des détails techniques sur la chaîne d'attaque ainsi que des requêtes de recherche et un script PowerShell qui peut être utilisé pour rechercher une exploitation potentielle de la vulnérabilité MOVEit Transfer.

Au cours de la dernière semaine de mai et début juin 2023, SentinelOne a observé une exploitation active des serveurs Windows exécutant une version vulnérable de l'application de serveur de fichiers MOVEit Transfer de Progress Software. L'attaque fournit un webshell minimal que l'attaquant peut utiliser pour exfiltrer le contenu des fichiers, y compris les fichiers hébergés dans Microsoft Azure lorsque l'instance MOVEit ciblée est configurée pour utiliser le service de stockage d'objets blob d'Azure. Dès le 5 juin, le groupe de rançongiciels Cl0p a revendiqué la responsabilité de ces campagnes.

Bien que l'exploitation soit probablement opportuniste, SentinelOne a observé des attaques contre plus de 20 organisations dans les secteurs suivants, les fournisseurs de services de sécurité gérés (MSSP) et les fournisseurs de services de technologie de l'information gérés (MSP) étant les plus fréquemment touchés :

La vulnérabilité affecte les versions suivantes de MOVEit Transfer :

Ces attaques sont menées contre des serveurs Windows exécutant une version vulnérable de l'application de transfert de fichiers MOVEit, que les attaquants peuvent identifier grâce à des services d'analyse de ports ou d'indexation Internet comme Shodan.

Progress Software a récemment publié un avis détaillant une vulnérabilité dans MOVEit Transfer qui pourrait permettre une élévation des privilèges et un accès non autorisé à l'environnement ciblé. L'avis détaille le problème comme une vulnérabilité d'injection SQL signalée comme CVE-2023-34362, qui peut permettre à un attaquant non autorisé d'injecter des commandes SQL et d'obtenir des informations à partir de la base de données ciblée.

La chaîne d'attaque exploite cette vulnérabilité pour effectuer un téléchargement de fichier arbitraire via le compte de service moveitsvc vers le répertoire \MOVEitTransfer\wwwroot\ du serveur. Le processus svchost.exe du système lance w3wp.exe, un processus de travail Microsoft Internet Information Service (IIS), qui écrit ensuite plusieurs fichiers dans un nouveau répertoire de travail dans Temp. Le répertoire de travail et les fichiers suivants partagent la même syntaxe de dénomination pseudo-aléatoire à 8 caractères, avec un exemple écrivant les fichiers suivants :

Le processus w3wp.exe lance csc.exe pour compiler le code C# dans la charge utile, qui est enregistrée sous human2.aspx. La charge utile est un webshell minimal qui demande des informations sur la configuration de la base de données, permettant à l'acteur de :

Pour exfiltrer des fichiers, l'attaquant peut spécifier l'ID de fichier et l'ID de dossier de l'objet ciblé dans les en-têtes HTTP d'une requête adressée au webshell. Le shell renvoie ensuite le contenu du fichier spécifié sous la forme d'un objet Gzip dans la réponse HTTP du serveur. Le shell supprime également l'utilisateur existant nommé « Health Check Service » et crée un nouvel utilisateur avec le même nom d'utilisateur, probablement comme moyen de persistance.

Au moment de la rédaction, SentinelOne n'a pas observé d'activité ultérieure après le placement du webshell.

Les organisations utilisant MOVEit Transfer doivent immédiatement mettre à niveau les systèmes concernés. Dans les situations où les mises à niveau ne peuvent pas être effectuées, le système doit être mis hors ligne jusqu'à ce qu'il puisse être mis à niveau. Assurez-vous que votre équipe de sécurité peut accéder et analyser les journaux d'application des serveurs qui exécutent MOVEit Transfer, y compris les journaux Microsoft IIS.

Étant donné que l'exploitation se produit via l'interaction avec MOVEit Transfer au niveau de l'application, les opportunités de détection pour les outils Endpoint Detection & Response (EDR) sont limitées à l'activité à un stade ultérieur. SentinelOne note que chaque charge utile est compilée dynamiquement au moment de l'exécution, ce qui donne un hachage unique pour chaque victime. Bien que nous fournissions une liste de hachages associés aux charges utiles diffusées via ces campagnes, les organisations ne doivent pas se fier uniquement aux hachages pour détecter ces attaques.

Nous recommandons aux organisations utilisant MOVEit Transfer de mener des chasses aux menaces et des analyses de journaux à l'aide des ressources fournies ci-dessous.

SentinelOne fournit les requêtes suivantes que les organisations peuvent utiliser pour rechercher les activités associées à ces attaques. Bien que ces requêtes n'incluent pas nécessairement tous les scénarios d'attaque, les résultats doivent être étudiés et triés. De plus, les défenseurs doivent rechercher une activité inhabituelle initiée par le compte de service MOVEit Transfer : la valeur par défaut est moveitsvc, bien que certaines instances puissent avoir un nom de compte personnalisé.

En plus de ces requêtes, SentinelOne fournit un script pour analyser l'exploitation potentielle de la vulnérabilité MOVEit Transfer.

Sur la base de l'activité observée par SentinelOne, nous pensons que l'objectif de l'attaquant est d'établir un accès à autant d'environnements victimes que possible pour effectuer une exfiltration de fichiers à grande échelle.

Alors que le groupe de rançongiciels Cl0p a revendiqué ces attaques, SentinelOne note que ces techniques s'alignent sur une tendance plus large d'attaques à motivation financière contre des serveurs Web exécutant des logiciels de transfert de fichiers vulnérables. Cette catégorie d'activité comprend les attaques contre le logiciel Aspera Faspex qui a livré le rançongiciel IceFire plus tôt en 2023, ainsi que les attaques attribuées à Cl0p qui exploitaient une faille de 0 jour dans l'application de transfert de fichiers géré (MFT) GoAnywhere. Sur la base de l'augmentation relative des attaques de serveurs de transfert de fichiers qui utilisent des exploits 0-day et N-day, il existe probablement un écosystème de développement d'exploits abondant axé sur les applications de transfert de fichiers d'entreprise.

Le choix de l'acteur d'utiliser la faille MOVEit pour cibler des fichiers dans le stockage cloud Azure est notable, si cette activité est uniquement associée au groupe de rançongiciels Cl0p. Les acteurs de l'extorsion axés sur le cloud comme Bianlian et Karakurt utilisent des outils de gestion de fichiers polyvalents comme Rclone et Filezilla. Un webshell sur mesure conçu pour voler des fichiers Azure via des requêtes SQL spécifiques à l'environnement ciblé représente un écart notable par rapport à cette norme établie et suggère que l'outillage a probablement été développé et testé bien avant les attaques ITW.

Les fichiers associés à l'exploitation d'instances vulnérables de MOVEit Transfer incluent les éléments suivants.

SHA1d013e0a503ba6e9d481b9ccdd119525fe0db765234d4b835b24a573863ebae30caab60d6070ed9aac8e03cb454034d5329d810bbfeb2bd2014dac16deee9451901badbfb cf920fcc5089ddc1ee4ec06d73f19114d61bd09789788782f407f6fe1d6530b97d91f5b03932793ff32ad99c5e611f1e5e7fe561a2f74b02f29f5b1a9fe3efe68c8f4 8c717be45c2c756c290729981d3804681e94b73d6f0be17914611608a031358817324568db9ece1f09e74de4719b8704c96436ffcbd93f954158fa374df05ddf7 f 6

Vous aimez cet article ? Suivez-nous sur LinkedIn, Twitter, YouTube ou Facebook pour voir le contenu que nous publions.