روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ اگر با اپ اشتراک‌گذاری فایل سازمانی MOVEit Transfer آشنایی ندارید هنوز ارزش دارد بدانید چطور این اپ هک شده است: صدها سازمان از جمله Shell، دپارتمان آموزشی ایالت نیویورک، بی‌بی‌سی، Boots، Aer Lingus، خطوط هوایی بریتانیا (از میان کلی موارد دیگر) و چندین ارائه‌دهنده بزرگ مراقبت‌های سلامتی در سراسر جهان، دانشگاه گرجستان و شرکت هایدلبرگ تحت‌الشعاع این هک قرار گرفتند. MOVEit Transfer همیشه از سوی سازنده خود Ipswitch که حالا بخشی است از شرکتی به نام Progress، «یک نرم‌افزار انتقال فایل مدیریت‌شده و امن برای سازمان‌ها» معرفی می‌شده. در حقیقت این یک سیستم MFT[1] است که به کارمندان کمک می‌کند فایل‌های بزرگ را با کنتراکتورهای خود از طریق SFTP، SCP و HTTP ارائه‌شده به عنوان کلود یا راهکارهای داخل‌سازمانی به اشتراک بگذارند. سری‌ رخدادها گویای داستانی هشداردهنده برای هر کسی است که مسئولیت بخش امنیت اطلاعات را در سازمان بر عهده دارد.

چطور MOVEit Transfer هک شد؟

بدون پرداختن به کش و قوس‌هایی که کاربران MOVEit در طی بازه زمانی یک و ماه و نیمه داشتند یک راست می‌رویم سراغ رخدادهای کلیدی. گزارشات در خصوص فعالیت مشکوک روی شبکه‌های بسیاری از سازمان‌هایی که از  MOVEit Transfer استفاده کرده بودند اولین بار 27 می 2023 منتشر شد. طبق بررسی‌ها، عاملین مخرب داشتند از آسیب‌پذیری ناشناخته‌ای برای سرقت داده توسط اجرای پرس و جوهای  SQL سوءاستفاده می‌کردند. در تاریخ 31 می،  Progress اولین بولتن امنیتی خود را که در آن فیکس‌هایی که تا آن زمان منتشر شده بودند خلاصه گشته و گام‌های مراقبتی توصیه شده بودند منتشر کرد. این شرکت در اصل باور داشت مشکل به نصب‌های داخل‌سازمانی محدود می‌شوند اما بعدها کاشف بعمل آمد که نسخه کلود MOVEit نیز آلوده شده است. MOVEit Cloud موقتاً از دسترس خارج شد تا پچ شود و رویش تحقیق‌هایی صورت گیرد. محققین Rapid7 2500 سرور داخلی آسیب‌پذیر را شمارش کردند. در تاریخ 2 ژوئن این آسیب‌پذیری نام CVE-2023-34362 را گرفت و امتیاز CVSS 9.8 (از 10) را از آن خود کرد. محققین رخداد این تهدید را به گروه باج‌افزاری cl0p نسبت دادند. پژوهشگران  Kroll در تاریخ 9 ژوئن گزارش دادند که اکسپلویت MOVEit از 2021 در حال تست شدن بوده است. بررسی‌ها در ادامه نشان داد این زنجیره حمله سایبری لزوماً به تزریق SQL ختم نشده و می‌توانسته شامل اجرای کد هم باشد. Progress با همین اعتبار پا فراتر از پچ نرم‌افزاری گذاشت. این شرکت یک ممیزی کد کلید زد و همین باعث شد شرکت Huntress هم کل زنجیره اکسپلویت را بازتولید کرده و هم آسیب‌پذیری دیگری را کشف کند؛ آسیب‌پذیری‌ای که با اعلام در بولتن بعدی و گرفتن نام CVE-2023-35036 در تاریخ 9 ژوئن فیکس شد. قبل از اینکه بسیاری از ادمین‌ها شانس نصب پچ را داشته باشند خود Progress مشکل دیگری را کشف کرد: CVE-2023-35708. این آسیب‌پذیری در بولتن 15 ژوئن اعلام شد. MOVEit Cloud برای دیگر برای 10 ساعت طول زمان فیکس بسته شد.

15 ژوئن همچنین تاریخی است که هکرها جزئیات برخی قربانیان را منتشر کردند و مذاکرات باج را شروع نمودند. دو روز بعد دولت آمریکا وعده داد 10 میلیون دلار بابت اطلاعات این گروه پرداخت خواهد کرد. در تاریخ 26 ژوئن شرکت Progress اعلام کرد در تاریخ 2 جولای MOVEit Cloud را سه ساعت خواهد بست تا امنیت سرور بررسی شود. در تاریخ 6 جولای توسعه‌دهندگان آپدیت دیگری دادند که در آن اعلام شد 3 آسیب‌پذیری دیگر پچ شد که یکی از آن‌ها آسیب‌پذیری به شدت جدی‌ای بوده است: CVE-2023-36934، CVE-2023-36932 و CVE-2023-36933.

خدمات اشتراک‌گذاری فایل به عنوان بردار حمله‌ای راحت و آسان

حمله ماه میِ MOVEit Transfer اولین نوع از این حملات نیست. سری حملات مشابهی هم بوده که Fortra GoAnywhere MFT را در ماه ژانویه هدف قرار داده و اواخر 2020 نیز شاهد اکسپلویت عظیم آسیب‌پذیری در  Accellion FTA بودیم. بسیاری از حملات هدفشان دسترسی مزیت‌دار به سرورها یا اجرای کد دلخواه است؛ چیزی که در این سناریو نیز رخ داد اما هدف هکرها بیشتر اجرای حمله‌ای بود سریع با ریسک پایین برای دسترسی به پایگاه‌های اطلاعاتی یک سرویس اشتراک‌گذاری فایل. این باعث می‌شود بدون نفوذ عمیق به سیستم به فایل‌ها دسترسی پیدا کنند و همچنان چراغ خاموش بمانند. از اینها گذشته دانلود فایل‌هایی که قرار بوده دانلود شوند اصلاً چیز مشکوکی نیست. پایگاه‌های اطلاعاتی اشتراک‌گذاری فایل کلی داده مهم جمع می‌کنند: طیق اعترافات قربانی یک حمله MOVEit Transfer، چنین نشتی حاوی داده 45 هزار دانشجوی کالج و مدرسه بوده است. این برای تیم‌های امنیتی بدان معناست که اپ‌هایی این چنینی و تنظیمات‌شان نیازمند توجهی ویژه هستند. از این رو توصیه می‌شود دسترسی مدیریتی محدود گشته و در خصوص مدیریت داده پایگاه داده و محافظت شبکه اقدامات جدی و مضاعف امنیتی صورت گیرد. سازمان‌ها باید با آموزش به کارمندان خود در خصوص حذف فایل‌ها از سیستم تبادل فایل به محض اینکه نیازشان به آن‌ها تمام می‌شود و نیز اشتراک‌گذاری تنها با اقل کاربران، توانایی آن‌ها را در بالا بردن بهداشت سایبری افزایش دهند.

تمرکز روی سرورها

برای مهاجمین سایبری که به دنبال راهی برای سرقت داده هستند، سرورها تارگت راحتی به حساب می‌ایند زیرا آنقدرها به دقت نظارت نمی‌شوند و کلی هم داده در خود جای داده‌اند. جای تعجب نیست که علاوه بر اکسپلویت عظیم اپ‌های محبوب سروری با حملاتی مانند پروکسی‌شل یا پروکسی نات‌شل، هکرها با مسلط شدن بر تکنیک‌های رمزگذاری فارم‌های ESXi و پایگاه‌های اطلاعاتی  Oracle و یا امتحان کردن سرویس‌هایی چون MOVEit Transfer که در جهان سازمانی مهم هستند اما عموم مردم کمتر آن‌ها را می‌شناسند مسیرهایی را طی می‌کنند که قبلاً کمتر کسی سمتشان رفته بوده است. برای همین است تیم‌های امنیتی باید تمرکز خود را روی سرورها بگذارند:

•         اولویت‌بندی پچ سرور
•         استفاده از راهکار EDR
•         محدود کردن دسترسی مزیت‌دار
•         امنیت‌بخشی کانتینرها، ماشین‌های مجازی و غیره

اگر اپی به نظر می‌رسد آسیب‌پذیری دارد یعنی کسی از آن مراقبت نکرده است

سوال در مورد اولویت‌ها همیشه زمانی پیش می‌آید که سازمانی شروع می‌کند به بحث در مورد پچ‌ها. آسیب‌پذیری‌ها شمارشان به صدها می‌رسد و نمی‌شود همه را یکجا روی همه اپ‌ها و کامپیوترها فیکس کرد. پس ادمین‌های سیستم باید تمرکز خود را روی خطرناک‌ترین آسیب‌پذیری‌ها بگذارند و یا آن‌هایی که به دلیل تأثیری که روی نرم‌افزارهای محبوب می‌گذارند شایع‌ترند. قصه‌ی  MOVEit به ما می‌آموزد که این چشم‌انداز دینامیک است: اگر سال گذشته را سرگرم فیکس کردن حفره‌های امنیتی در  Exchange یا سایر محصولات مایکروسافت بوده‌اید این معنا را نمی‌دهد که باید فقط روی ان‌ها متمرکز باشید. همچنین مهم است که ترندهای هوش تهدید را نیز دنبال کرده و نه تنها تهدیدهای جدید را از بین برده که همچنین تأثیر احتمالی‌شان را روی سازمان خود پیش‌بینی کنید.

[1]  managed file transfer

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.