Violação de dados Zellis: BA, dados da BBC roubados em ataques MOVEit

Mar 18, 2023

Atualizado em 6 de junho com detalhes sobre a própria vulnerabilidade do RCE, que não é apenas injeção de SQL. O vetor de ataque "oferece a capacidade de detonar o ransomware imediatamente", dizem os pesquisadores de segurança do Huntress Labs.

A BBC, a British Airways e a Boots confirmaram violações de dados como resultado de um ataque à Zellis, uma empresa britânica fornecedora de folha de pagamento.

Zellis foi vítima da exploração de uma vulnerabilidade de dia zero (anteriormente desconhecida) no software de transferência de arquivos corporativos "MOVEit Transfer".

A BA confirmou a associação hoje à Sky News, dizendo "... somos uma das empresas afetadas pelo incidente de segurança cibernética de Zellis, que ocorreu por meio de um de seus fornecedores terceirizados chamado MOVEit".

Uma consulta de varredura de URL para instâncias MOVEit expostas sugere que AON, Amex, American Fidelity, BAE Systems, Equiniti, EYm Hess, KPMG e Xilinx estão entre as blue chips que tiveram instâncias MOVEit expostas...

A vulnerabilidade MOVEit, CVE-2023-34362, foi divulgada pela primeira vez pelo proprietário Progress Software em 31 de maio. Os ataques parecem ter começado no início de maio. A exploração automatizada da vulnerabilidade seguiu rapidamente com o mesmo nome de webshell sendo descartado em vários ambientes de clientes.

A análise da vulnerabilidade realizada esta semana pela Huntress Labs revelou que a fase inicial do ataque, a injeção de SQL, abre as portas para um comprometimento ainda maior - especificamente, a execução arbitrária de código: "Isso significa que qualquer adversário não autenticado pode desencadear uma exploração que implanta instantaneamente ransomware ou executa qualquer outra ação maliciosa. O código malicioso seria executado sob o usuário moveitsvc da conta de serviço MOVEit, que está no grupo de administradores locais. O invasor pode desativar as proteções antivírus ou realizar qualquer outra execução arbitrária de código.

O comportamento que a indústria observou, adicionando um webshell human2.aspx, não é necessário para que os invasores comprometam o software MOVEit Transfer. É "uma opção" que essa ameaça específica escolheu implantar para persistência, mas o vetor de ataque oferece a capacidade de detonar o ransomware imediatamente. Alguns já relataram publicamente aos invasores que giram para outros nomes de arquivo", disse Hungress.

O incidente é um caso clássico de como os ataques à cadeia de suprimentos de software reverberam a jusante e criam um ciclo de feedback positivo para os hackers.

A Microsoft está atribuindo os ataques a um grupo de ameaças que chama de Lace Tempest, conhecido por operações de ransomware e por executar o site de extorsão Clop.

Charles Carmakal, CTO, Mandiant Consulting - Google Cloud, disse: "Neste estágio, é fundamental que as organizações de vítimas se preparem para possíveis extorsões, publicação de dados roubados e vergonha da vítima. É provável que o agente da ameaça comece a fazer contato com demandas de extorsão e começam a trabalhar em sua lista de vítimas.

Ele acrescentou: "Qualquer organização que teve a interface web do MOVEit exposta à Internet deve realizar uma análise forense do sistema, independentemente de quando o software foi corrigido. Pode haver mais ondas de exploração e roubo de dados, então implemente o patch ou mitigações . Além disso, as ondas subsequentes podem incluir a implantação de criptografadores de ransomware. Fique atento também aos golpistas. Alguns de nossos clientes afetados pela exploração do MOVEit receberam e-mails de extorsão no fim de semana. Os e-mails de extorsão não estavam relacionados à exploração do MOVEit e eram apenas fraudes, mas organizações podem facilmente confundi-los como sendo autênticos."

O serviço é o mais recente de uma série de serviços de transferência de arquivos em escala empresarial a serem atingidos. Accelion (CVE-2021-27101); Fortra GoAnywhere (CVE-2023-0669); SolarWinds Serv-U (CVE-2021-35211); IBM Aspera Faspex (CVE-2022-47986) foram todos atacados com sucesso nos últimos 24 meses.

(Os CISOs podem querer dar uma olhada longa e cuidadosa em como eles estão garantindo a segurança de tais softwares de terceiros que lidam com arquivos corporativos.)