Se você não está familiarizado com o aplicativo corporativo de compartilhamento de arquivos MOVEit Transfer, ainda vale a pena estudar como ele foi hackeado – nem que seja por sua escala: centenas de organizações foram afetadas, incluindo, entre muitas outras, a Shell, a New York State Education Departamento, a BBC, Boots, Aer Lingus, British Airways, vários grandes provedores de saúde em todo o mundo, a Universidade da Geórgia e a Heidelberger Druck. Tanto ironicamente quanto tristemente, o MOVEit Transfer é apresentado como “Software de transferência de arquivo gerenciado seguro para a empresa” por seus criadores, Ipswitch (agora parte de uma empresa chamada Progress). É um sistema de transferência gerenciada de arquivos (MFT) que ajuda os funcionários a compartilhar arquivos grandes com contratados via SFTP, SCP e HTTP, oferecido como uma solução na nuvem ou no local.
A série de incidentes representa um alerta para todos os responsáveis pela segurança da informação em uma organização.
Como o MOVEit Transfer foi hackeado
Sem entrar em cada reviravolta do turbulento mês e meio dos usuários do MOVEit, abordaremos os principais eventos.
Relatórios sobre atividades suspeitas nas redes de muitas organizações que usaram o MOVEit Transfer começaram a surgir em 27 de maio de 2023. De acordo com uma investigação, agentes mal-intencionados estavam se aproveitando de uma vulnerabilidade desconhecida para roubar dados executando consultas SQL.
Em 31 de maio, a Progress lançou seu primeiro boletim de segurança, que resumia as correções lançadas até aquele momento e recomendava as etapas de correção. A empresa originalmente acreditava que o problema estava limitado a instalações locais, mas mais tarde descobriu-se que a versão em nuvem do MOVEit também foi afetada. O MOVEit Cloud foi temporariamente desligado para correções e investigações. Os pesquisadores do Rapid7 contaram um total de 2.500 servidores locais vulneráveis.
Em 2 de junho, a vulnerabilidade recebeu o identificador CVE-2023-34362 e uma pontuação CVSS de 9,8 (em 10). Os pesquisadores do incidente atribuíram a ameaça ao grupo cl0p ransomware. Pesquisadores da Kroll relataram em 9 de junho que o exploit MOVEit provavelmente estava em testes desde 2021. As investigações deixaram claro que a cadeia de ataque cibernético não terminava necessariamente em uma injeção de SQL e que poderia incluir a execução de código.
Para seu crédito, a Progress foi além de corrigir o software. A empresa iniciou uma auditoria de código, possibilitando que a empresa Huntress reproduzisse toda a cadeia de exploração e descobrisse outra vulnerabilidade, que seria corrigida em 9 de junho conforme anunciado no próximo boletim e designada como CVE-2023-35036. Antes que muitos administradores tivessem a chance de instalar esse patch, o próprio Progress descobriu outro problema – CVE-2023-35708 – e o anunciou em seu boletim de 15 de junho. O MOVEit Cloud foi desligado novamente por dez horas para que as correções fossem aplicadas.
O dia 15 de junho também foi notável porque os hackers publicaram os detalhes de algumas das vítimas e iniciaram negociações de resgate. Dois dias depois, o governo dos Estados Unidos prometeu até US$ 10 milhões por informações sobre o grupo.
Em 26 de junho, a Progress anunciou que desligaria o MOVEit Cloud por três horas em 2 de julho para reforçar a segurança do servidor.
Em 6 de julho, os desenvolvedores publicaram outra atualização, que corrigiu mais três vulnerabilidades – uma delas crítica (CVE-2023-36934, CVE-2023-36932 e CVE-2023-36933).
Serviços de compartilhamento de arquivos como um vetor de ataque conveniente
O ataque MOVEit Transfer de maio não é o primeiro desse tipo. Uma série semelhante de ataques direcionados ao Fortra GoAnywhere MFT foi lançada em janeiro e, no final de 2020, ocorreu uma exploração massiva de uma vulnerabilidade no Accellion FTA.
Muitos ataques visam obter acesso privilegiado a servidores ou executar código arbitrário, o que também aconteceu neste caso, mas o objetivo dos hackers costuma ser executar um ataque rápido e de baixo risco para obter acesso aos bancos de dados de um serviço de compartilhamento de arquivos. Isso ajuda a capturar arquivos sem penetrar profundamente no sistema para permanecer sob o radar. Afinal, baixar arquivos que deveriam ser baixados não é tão suspeito.
Enquanto isso, os bancos de dados de compartilhamento de arquivos tendem a coletar muitas informações verdadeiramente importantes: assim, uma vítima de ataque do MOVEit Transfer admitiu que o vazamento continha os dados de 45.000 estudantes universitários e escolares.
O que isso significa para as equipes de segurança é que aplicativos como esses e sua configuração requerem atenção especial: as etapas a serem seguidas incluem limitar o acesso administrativo, bem como tomar medidas de segurança adicionais em relação ao gerenciamento de banco de dados e proteção de rede. As organizações devem promover a ciber-higiene entre os funcionários, ensinando-os a excluir arquivos do sistema de troca de arquivos assim que deixarem de precisar deles e compartilhar com apenas um mínimo de usuários.
Foco em servidores
Para ciberataques que procuram roubar dados, os servidores são um alvo fácil, pois não são monitorados de perto e contêm muitos dados. Sem surpresa, além de explorar massivamente aplicativos populares do lado do servidor com ataques como ProxyShell ou ProxyNotShell, os hackers seguem caminhos menos percorridos dominando a criptografia de farms ESXi e bancos de dados Oracle ou experimentando serviços como o MOVEit Transfer, que são populares no mundo corporativo, mas menos conhecido do grande público. É por isso que as equipes de segurança precisam colocar o foco nos servidores:
- priorizar o patch do servidor
- usar uma solução EDR
- limitar o acesso privilegiado
- contêineres seguros, máquinas virtuais e assim por diante
Se um aplicativo parece ter poucas vulnerabilidades, significa que ninguém as procurou
A questão das prioridades sempre surge quando uma organização começa a discutir patches. As vulnerabilidades chegam às centenas e são impossíveis de corrigir em todos os lugares e de uma só vez, em todos os aplicativos e em todos os computadores. Portanto, os administradores do sistema precisam se concentrar nas vulnerabilidades mais perigosas – ou nas mais difundidas por afetar softwares populares. A história do MOVEit nos ensina que esse cenário é dinâmico: se você passou o último ano consertando falhas no Exchange ou em outros produtos da Microsoft, isso não significa que você precisa se concentrar principalmente nelas. É fundamental seguir as tendências de Threat Intelligence e não apenas eliminar novas ameaças específicas, mas também prever seu possível impacto em sua organização.
