روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ اگر با اپ اشتراکگذاری فایل سازمانی MOVEit Transfer آشنایی ندارید هنوز ارزش دارد بدانید چطور این اپ هک شده است: صدها سازمان از جمله Shell، دپارتمان آموزشی ایالت نیویورک، بیبیسی، Boots، Aer Lingus، خطوط هوایی بریتانیا (از میان کلی موارد دیگر) و چندین ارائهدهنده بزرگ مراقبتهای سلامتی در سراسر جهان، دانشگاه گرجستان و شرکت هایدلبرگ تحتالشعاع این هک قرار گرفتند. MOVEit Transfer همیشه از سوی سازنده خود Ipswitch که حالا بخشی است از شرکتی به نام Progress، «یک نرمافزار انتقال فایل مدیریتشده و امن برای سازمانها» معرفی میشده. در حقیقت این یک سیستم MFT[1] است که به کارمندان کمک میکند فایلهای بزرگ را با کنتراکتورهای خود از طریق SFTP، SCP و HTTP ارائهشده به عنوان کلود یا راهکارهای داخلسازمانی به اشتراک بگذارند. سری رخدادها گویای داستانی هشداردهنده برای هر کسی است که مسئولیت بخش امنیت اطلاعات را در سازمان بر عهده دارد.
چطور MOVEit Transfer هک شد؟
بدون پرداختن به کش و قوسهایی که کاربران MOVEit در طی بازه زمانی یک و ماه و نیمه داشتند یک راست میرویم سراغ رخدادهای کلیدی. گزارشات در خصوص فعالیت مشکوک روی شبکههای بسیاری از سازمانهایی که از MOVEit Transfer استفاده کرده بودند اولین بار 27 می 2023 منتشر شد. طبق بررسیها، عاملین مخرب داشتند از آسیبپذیری ناشناختهای برای سرقت داده توسط اجرای پرس و جوهای SQL سوءاستفاده میکردند. در تاریخ 31 می، Progress اولین بولتن امنیتی خود را که در آن فیکسهایی که تا آن زمان منتشر شده بودند خلاصه گشته و گامهای مراقبتی توصیه شده بودند منتشر کرد. این شرکت در اصل باور داشت مشکل به نصبهای داخلسازمانی محدود میشوند اما بعدها کاشف بعمل آمد که نسخه کلود MOVEit نیز آلوده شده است. MOVEit Cloud موقتاً از دسترس خارج شد تا پچ شود و رویش تحقیقهایی صورت گیرد. محققین Rapid7 2500 سرور داخلی آسیبپذیر را شمارش کردند. در تاریخ 2 ژوئن این آسیبپذیری نام CVE-2023-34362 را گرفت و امتیاز CVSS 9.8 (از 10) را از آن خود کرد. محققین رخداد این تهدید را به گروه باجافزاری cl0p نسبت دادند. پژوهشگران Kroll در تاریخ 9 ژوئن گزارش دادند که اکسپلویت MOVEit از 2021 در حال تست شدن بوده است. بررسیها در ادامه نشان داد این زنجیره حمله سایبری لزوماً به تزریق SQL ختم نشده و میتوانسته شامل اجرای کد هم باشد. Progress با همین اعتبار پا فراتر از پچ نرمافزاری گذاشت. این شرکت یک ممیزی کد کلید زد و همین باعث شد شرکت Huntress هم کل زنجیره اکسپلویت را بازتولید کرده و هم آسیبپذیری دیگری را کشف کند؛ آسیبپذیریای که با اعلام در بولتن بعدی و گرفتن نام CVE-2023-35036 در تاریخ 9 ژوئن فیکس شد. قبل از اینکه بسیاری از ادمینها شانس نصب پچ را داشته باشند خود Progress مشکل دیگری را کشف کرد: CVE-2023-35708. این آسیبپذیری در بولتن 15 ژوئن اعلام شد. MOVEit Cloud برای دیگر برای 10 ساعت طول زمان فیکس بسته شد.
15 ژوئن همچنین تاریخی است که هکرها جزئیات برخی قربانیان را منتشر کردند و مذاکرات باج را شروع نمودند. دو روز بعد دولت آمریکا وعده داد 10 میلیون دلار بابت اطلاعات این گروه پرداخت خواهد کرد. در تاریخ 26 ژوئن شرکت Progress اعلام کرد در تاریخ 2 جولای MOVEit Cloud را سه ساعت خواهد بست تا امنیت سرور بررسی شود. در تاریخ 6 جولای توسعهدهندگان آپدیت دیگری دادند که در آن اعلام شد 3 آسیبپذیری دیگر پچ شد که یکی از آنها آسیبپذیری به شدت جدیای بوده است: CVE-2023-36934، CVE-2023-36932 و CVE-2023-36933.
خدمات اشتراکگذاری فایل به عنوان بردار حملهای راحت و آسان
حمله ماه میِ MOVEit Transfer اولین نوع از این حملات نیست. سری حملات مشابهی هم بوده که Fortra GoAnywhere MFT را در ماه ژانویه هدف قرار داده و اواخر 2020 نیز شاهد اکسپلویت عظیم آسیبپذیری در Accellion FTA بودیم. بسیاری از حملات هدفشان دسترسی مزیتدار به سرورها یا اجرای کد دلخواه است؛ چیزی که در این سناریو نیز رخ داد اما هدف هکرها بیشتر اجرای حملهای بود سریع با ریسک پایین برای دسترسی به پایگاههای اطلاعاتی یک سرویس اشتراکگذاری فایل. این باعث میشود بدون نفوذ عمیق به سیستم به فایلها دسترسی پیدا کنند و همچنان چراغ خاموش بمانند. از اینها گذشته دانلود فایلهایی که قرار بوده دانلود شوند اصلاً چیز مشکوکی نیست. پایگاههای اطلاعاتی اشتراکگذاری فایل کلی داده مهم جمع میکنند: طیق اعترافات قربانی یک حمله MOVEit Transfer، چنین نشتی حاوی داده 45 هزار دانشجوی کالج و مدرسه بوده است. این برای تیمهای امنیتی بدان معناست که اپهایی این چنینی و تنظیماتشان نیازمند توجهی ویژه هستند. از این رو توصیه میشود دسترسی مدیریتی محدود گشته و در خصوص مدیریت داده پایگاه داده و محافظت شبکه اقدامات جدی و مضاعف امنیتی صورت گیرد. سازمانها باید با آموزش به کارمندان خود در خصوص حذف فایلها از سیستم تبادل فایل به محض اینکه نیازشان به آنها تمام میشود و نیز اشتراکگذاری تنها با اقل کاربران، توانایی آنها را در بالا بردن بهداشت سایبری افزایش دهند.
تمرکز روی سرورها
برای مهاجمین سایبری که به دنبال راهی برای سرقت داده هستند، سرورها تارگت راحتی به حساب میایند زیرا آنقدرها به دقت نظارت نمیشوند و کلی هم داده در خود جای دادهاند. جای تعجب نیست که علاوه بر اکسپلویت عظیم اپهای محبوب سروری با حملاتی مانند پروکسیشل یا پروکسی ناتشل، هکرها با مسلط شدن بر تکنیکهای رمزگذاری فارمهای ESXi و پایگاههای اطلاعاتی Oracle و یا امتحان کردن سرویسهایی چون MOVEit Transfer که در جهان سازمانی مهم هستند اما عموم مردم کمتر آنها را میشناسند مسیرهایی را طی میکنند که قبلاً کمتر کسی سمتشان رفته بوده است. برای همین است تیمهای امنیتی باید تمرکز خود را روی سرورها بگذارند:
- اولویتبندی پچ سرور
- استفاده از راهکار EDR
- محدود کردن دسترسی مزیتدار
- امنیتبخشی کانتینرها، ماشینهای مجازی و غیره
اگر اپی به نظر میرسد آسیبپذیری دارد یعنی کسی از آن مراقبت نکرده است
سوال در مورد اولویتها همیشه زمانی پیش میآید که سازمانی شروع میکند به بحث در مورد پچها. آسیبپذیریها شمارشان به صدها میرسد و نمیشود همه را یکجا روی همه اپها و کامپیوترها فیکس کرد. پس ادمینهای سیستم باید تمرکز خود را روی خطرناکترین آسیبپذیریها بگذارند و یا آنهایی که به دلیل تأثیری که روی نرمافزارهای محبوب میگذارند شایعترند. قصهی MOVEit به ما میآموزد که این چشمانداز دینامیک است: اگر سال گذشته را سرگرم فیکس کردن حفرههای امنیتی در Exchange یا سایر محصولات مایکروسافت بودهاید این معنا را نمیدهد که باید فقط روی انها متمرکز باشید. همچنین مهم است که ترندهای هوش تهدید را نیز دنبال کرده و نه تنها تهدیدهای جدید را از بین برده که همچنین تأثیر احتمالیشان را روی سازمان خود پیشبینی کنید.
[1] managed file transfer
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
