في 31 مايو 2023، نشرت Progress تفاصيل عن ثغرة أمنية حرجة لمدة 0 يوم في تنفيذ التعليمات البرمجية عن بُعد (RCE) في نقل MOVEit التي يتم استغلالها بشكل مباشر (CVE-2023-34362).

تم تعيين CVE-2023-34362 لهذه الثغرة الأمنية في 2 يونيو 2023، ووفقًا للبائع، تمت ملاحظة الاستغلال منذ مايو 2023، على الرغم من وجود تقارير عن استغلال محتمل يعود إلى مارس 2023 أو حتى منتصف عام 2021. يُنصح المستخدمون بشكل عاجل بالتصحيح إلى الإصدار الثابت، والبقاء على اطلاع بأحدث المعلومات حول هذه المشكلة المستمرة.

تحديث 10 يونيو:

في 9 يونيو 2023، تم نشر التقدم تفاصيل الثغرة الأمنية الثانية الهامة لحقن SQL في MOVEit Transfer (CVE-2023-35036). يمكن للمهاجم إرسال حمولة معدّة إلى نقطة نهاية تطبيق نقل MOVEit مما قد يؤدي إلى تعديل محتوى قاعدة بيانات MOVEit والكشف عنه.

تحديث 20 يونيو:

في 15 يونيو 2023، نشر التقدم تفاصيل الثغرة الأمنية الثالثة الحرجة لحقن SQL في MOVEit Transfer (CVE-2023-35708).

نقل الحركة هي خدمة نقل الملفات المُدارة (MFT) المستندة إلى Windows Server والتي تم تطويرها بواسطة Ipswitch، وهي شركة تابعة لشركة Progress.

تم العثور على ثغرة أمنية لحقن SQL (CVE-2023-34362) في تطبيق الويب MOVEit Transfer والتي قد تسمح لمهاجم غير مصادق عليه بالحصول على وصول غير مصرح به إلى قاعدة بيانات MOVEit Transfer.

اعتمادًا على محرك قاعدة البيانات الذي يستخدمه MOVEit Transfer (MySQL أو Microsoft SQL Server أو Azure SQL)، قد يتمكن المهاجم من استنتاج معلومات حول بنية قاعدة البيانات ومحتوياتها بالإضافة إلى تنفيذ عبارات SQL التي تغير عناصر قاعدة البيانات أو تحذفها.

وفقًا لـ Wiz Data، فإن أقل من 1% من البيئات السحابية تحتوي على مثيلات تقوم بتشغيل MOVEit Transfer، على الرغم من أنه وفقًا لـ Censys، فإن معظم المثيلات المكشوفة علنًا لهذا البرنامج تتم استضافتها بالفعل في السحابة، خاصة في Azure. نحن نقدر أن انخفاض معدل انتشار MOVEit Transfer في البيئات السحابية يرجع إلى تفضيل العملاء لاستخدام عرض SaaS لهذا المنتج بدلاً من تثبيت الإصدار المحلي المستقل.

تقدمت العديد من المنظمات لتكشف علنًا عن تعرضها للاختراق، وقد قامت مجموعة Cl0p Ransomware بتسمية العديد من الشركات التي تزعم أنها استهدفتها بنجاح من خلال استغلال هذه الثغرة الأمنية وتصفية بياناتها.

لاحظت GreyNoise نشاط مسح لصفحة تسجيل الدخول الخاصة بـ MOVEit Transfer في وقت مبكر من 3 مارس 2023، وحدد Kroll نشاطًا يحتمل أن يكون ذا صلة يعود تاريخه إلى يونيو 2021، مما قد يشير إلى أن Cl0p كان يمتلك هذه الثغرة الأمنية لفترة طويلة جدًا.

نظرًا لأن MOVEit Transfer هو تطبيق MFT، فقد نشأت شكوك في صناعة الأمن بأن الجهة التهديدية التي تقف وراء هذا النشاط قد تكون Cl0p، والتي نجحت سابقًا في استغلال ثغرات أمنية 0day في برامج مماثلة (مثل GoAnywhere) من أجل سرقة البيانات الحساسة من ضحاياها. وفي وقت لاحق، مايكروسوفت منسوب علنا استغلال CVE-2023-34362 لـ Cl0p، ونشرت Mandiant تقريرًا يتضمن النتائج التي توصلوا إليها فيما يتعلق بالبرامج الضارة وتقنيات الهجوم التي يستخدمها ممثل التهديد. المجموعة منذ ذلك الحين ادعى أنهم كانوا بالفعل وراء هذا النشاط.

مؤشرات التسوية

للحصول على القائمة الكاملة لـ IoCs الرجوع إلى البائعين الاستشارية.

النسخة الرئيسية المتضررة نسخة ثانوية ثابتة
2023.0.0 2023.0.3 (15.0.3)
2022.1.x 2022.1.7 (14.1.7)
2022.0.x 2022.0.6 (14.0.6)
2021.1.x 2021.1.6 (13.1.6)
2021.0.x 2021.0.8 (13.0.8)
2020.1.x 2020.1.10 (12.1.10)

يجب على العملاء المتأثرين التحديث إلى الإصدارات المصححة على الفور، مع إعطاء الأولوية لمثيلات هذا البرنامج المكشوفة علنًا. يعد هذا أمرًا مهمًا سواء تعرضت مؤسستك للاختراق أم لا، نظرًا لأن Cl0p والجهات الفاعلة الأخرى في مجال التهديد على الأرجح ما زالت تبحث عن الحالات الضعيفة لاستغلالها.

بالإضافة إلى ذلك، أوصى Progress بحظر وصول HTTP مؤقتًا إلى مثيلات نقل MOVEit، والاعتماد على FTP بدلاً من ذلك (والذي لا يتأثر بهذه الثغرات الأمنية).

كأفضل الممارسات، نوصي بتقليل سطح الهجوم في البيئة السحابية الخاصة بك عن طريق التأكد من وجود تطبيقات مثل MOVEit Transfer خلف جدار حماية أو صفحة VPN أو SSO المقصودة. يجب عليك تجنب تعريض التطبيقات الغنية بالبيانات مباشرة إلى الإنترنت، وإلا فقد تكون بيئتك على بعد يوم واحد فقط من التعرض للخطر، بغض النظر عن مدى سرعة التصحيح.

إذا كنت قد منحت حق الوصول إلى MOVEit مسبقًا، فانتقل إلىالاستفادة من حالات التخزين السحابيةفي بيئتك كجزء من الخدمةالتكامل اللازوردي، وإذا كان لديك سبب للاعتقاد بأن أيًا من أحمال العمل لديك التي تستضيف MOVEit Transfer قد تم اختراقها، فإننا نوصي بتدوير مفاتيح السحابة ذات الصلة في حالة تعرضها للاختراق أيضًا، وبعد ذلكتحديثتكوين نقل MOVEit مع المفاتيح الجديدة.

وبالمثل، إذا سمحت لـ MOVEit Transfer باستخدام قاعدة بيانات SQL عبر الإنترنت مثل Azure SQL، فيجب عليك تدوير بيانات الاعتماد لقاعدة البيانات ذات الصلة أيضًا.

يمكن لعملاء Wiz استخدام الاستعلامات والاستشارات المعدة مسبقًا في Wiz Threat Center لمعرفة ما إذا كانت قيد الاستخدام في بيئتهم وأين يتم استخدامها، لا سيما أي حالات معرضة مباشرة للإنترنت.

مركز التهديد ويز

مراجع



شاركها.
اترك تعليقاً