MOVEit Transfer Réponse rapide aux vulnérabilités critiques

MISE À JOUR : 1er juin 2023 à 17 h 33 HE – Ajout de la règle Huntress YARA partageable pour l’assistance dans l’effort de détection
MISE À JOUR : 1er juin 2023 @ 2023 ET – Ajout de la règle Sigma de la communauté Kostas pour faciliter les efforts de détection
DERNIÈRE MISE À JOUR : 1er juin 2023 à 2029 ET – Ajout de captures d’écran pour la DLL qui crée le fichier human2.aspx

Le 1er juin 2023, Huntress a été informée de tentatives d’exploitation actives contre l’application logicielle MOVEit Transfer. Auparavant, le 31 mai 2023, le vendeur Progress avait vient de publier un avis de sécurité indiquant qu’il existe une vulnérabilité critique qui pourrait conduire à un accès non autorisé.

Progress a fait tomber MOVEit Cloud dans le cadre de leur réponse et de leur enquête.

Comme d’habitude, nous continuerons à mettre à jour cet article de blog et notre message Reddit avec les détails au fur et à mesure que nous les trouvons.

Ce qu’il fait

Bien qu’il s’agisse encore d’une menace émergente et que tous les détails ne soient pas connus, il semble actuellement qu’il existe une grave vulnérabilité dans l’interface de l’application Web MOVEit Transfer qui offre aux attaquants un accès supplémentaire. Certains fournisseurs de sécurité suggèrent que cette faiblesse est une vulnérabilité d’injection SQL, mais les journaux HTTP semblent suggérer une vulnérabilité de téléchargement de fichiers sans restriction.

Il n’y a pas encore de score CVE ou CVS identifié.

En fin de compte, l’exploitation observée est une nouvelle mise en scène humain2.aspx fichier créé dans le C:MOVEitTransferwwwroot annuaire. Notez qu’il y a pas d’espace entre les mots MOVEitTransfer. Ce chemin du système de fichiers est basé sur les emplacements d’installation et est personnalisable (nous l’avons également vu présent dans d’autres lecteurs comme “E : “), cet emplacement peut donc varier en fonction de votre environnement.

Ce fichier ASPX prépare un compte de base de données SQL à utiliser pour un accès ultérieur, décrit plus en détail ci-dessous.

Analyse technique et enquête

Huntress a identifié moins de dix organisations avec ce logiciel MOVEit Transfer dans notre base de partenaires, cependant, Shodan suggère qu’il existe plus de 2 500 serveurs accessibles au public sur l’Internet ouvert.

Parmi nos quelques organisations, une seule a vu une chaîne d’attaque complète et tous les indicateurs correspondants de compromission.

En examinant les journaux d’accès IIS de l’hôte affecté, nous pensons que la chaîne d’attaque suit ces opérations.

2023-05-30 17:05:50 192.168.###.### GET / - 443 - 5.252.190.181 user-agent - 200
2023-05-30 17:06:00 192.168.###.### POST /guestaccess.aspx - 443 - 5.252.191.14 user-agent - 200
2023-05-30 17:06:00 192.168.###.### POST /api/v1/token - 443 - 5.252.191.14 user-agent - 200
2023-05-30 17:06:02 192.168.###.### GET /api/v1/folders - 443 - 5.252.191.14 user-agent - 200
2023-05-30 17:06:02 192.168.###.### POST /api/v1/folders/605824912/files uploadType=resumable 443 - 5.252.191.14 user-agent - 200
2023-05-30 17:06:02 ::1 POST /machine2.aspx - 80 - ::1 CWinInetHTTPClient - 200
2023-05-30 17:06:02 192.168.###.### POST /moveitisapi/moveitisapi.dll action=m2 443 - 5.252.191.14 user-agent - 200
2023-05-30 17:06:04 192.168.###.### POST /guestaccess.aspx - 443 - 5.252.190.233 user-agent - 200
2023-05-30 17:06:08 192.168.###.### PUT /api/v1/folders/605824912/files uploadType=resumable&fileId=963061209 443 - 5.252.190.233 user-agent - 500
2023-05-30 17:06:08 ::1 POST /machine2.aspx - 80 - ::1 CWinInetHTTPClient - 200
2023-05-30 17:06:08 192.168.###.### POST /moveitisapi/moveitisapi.dll action=m2 443 - 5.252.190.233 user-agent - 200
2023-05-30 17:06:11 192.168.###.### POST /guestaccess.aspx - 443 - 5.252.190.116 user-agent - 200
2023-05-30 17:06:21 192.168.###.### GET /human2.aspx - 443 - 5.252.191.88 user-agent - 404

(Par souci de brièveté, l’en-tête complet de l’agent utilisateur a été supprimé de cet extrait)

Bien que nous n’ayons pas encore complètement creusé le moveitisapi.dll ou la guestaccess.aspxceux-ci semblent mettre en scène un téléchargement de fichier (encore corroboré avec le vu uploadType=reprise chaînes) et faites suivre d’une demande au nouveau humain2.aspx déposer.

Le mesure=m2 et action=capa domaines pertinents pour la moveitisapi.dll file sont encore particuliers en tant qu’arguments d’étape de requête, mais il n’est pas encore clair si ces valeurs sont nécessaires pour la chaîne d’attaque.

Notez que le code de réponse 404 pour le humain2.aspx peut être approprié, car (voir ci-dessous) la porte dérobée renverra cette valeur si la clé de mot de passe correcte n’est pas fournie. Peut-être que l’acteur de la menace était impatient dans son processus de téléchargement ou confirmait simplement que la porte dérobée avait été correctement mise en scène.

Plein humain2.aspx le fichier est disponible à vous de revoir:

Ce fichier ASPX :

• Applique un mot de passe statique pour l’accès, déterminé par le Commentaire X-siLock En-tête HTTP. Si ce mot de passe n’est pas fourni, le serveur renvoie un 404 sans autre fonction. Ce mot de passe semble varier, et pour cette raison, vous verrez plusieurs hachages partagés en tant qu’IOC pour humain2.aspx.
• Se connecte à la base de données et offre des fonctionnalités basées sur un X-siLock-Step1 en-tête soit :
• (-2) supprimer un Service de bilan de santé utilisateur de la base de données
• (-1) divulguer des informations Azure via l’en-tête de réponse et renvoyer un flux GZIP de tous les fichiers, propriétaires de fichiers et tailles de fichiers, ainsi que les données de l’institution présentes dans MOVEit
• (vide) récupérer tout fichier spécifié par un X-siLocked-Step2 en-tête (un ID de dossier) et X-SiLocked-Step3 en-tête (ID de fichier). Si ces valeurs d’en-tête ne sont pas fournies, il ajoutera un nouvel utilisateur administrateur “Service de vérification de l’état” dans la base de données et créera une session active de longue durée pour ce compte.

Depuis notre service EDR géré, nous avons observé des événements le 30 mai que cet hôte concerné avait w3wp.exe exécuter le compilateur C# csc.exe dont le timing correspond à la création de notre humain2.aspx porte arrière.

Au fur et à mesure de la compilation, le système créera une DLL sous :

C:WindowsMicrosoft.netFramework64v4.0.30319Temporary ASP.NET Filesroot9a11d1d05debd404 

Notez que votre numéro de version .NET peut différer ou que les deux derniers sous-répertoires peuvent avoir des valeurs hexadécimales différentes.

Dans ce répertoire nous observons un nouvel artefact App_Web_wrpngvm2.dll (notez à nouveau que ces caractères aléatoires seront différents) qui a été créé au même horodatage, qui diffère de App_Web_5h5nuzvn.dll qui a été créé un an auparavant. Après avoir exploré ce nouvel artefact via pointPeekil est évident que c’est un constructeur pour le humain2.aspx fichier mentionné ci-dessus.

A l’initialisation, le human2.aspx fichier est créé.

Le human2_aspx La classe est responsable du remplissage du contenu du fichier.

Pour l’instant dans notre analyse, il n’est pas clair comment le App_Web_wrpngvm2.dll est appelé une fois qu’il a été placé sur le système.

Cependant, si vous avez un deuxième App_web_….dll vous avez probablement été compromis car cela indique que la porte dérobée est compilée et présente.

Efforts de détection

Pour nos efforts de chasse aux menaces, nous avons utilisé cette requête de surveillance de processus :

process.parent.name.caseless: w3wp.exe and process.parent.command_line.text : "moveitdmz pool"

Le chasseur de menaces Anthony Smith a noté qu’il y avait une faute d’orthographe particulière dans le humain2.aspx webshell qui peut faire un bon ajout à une règle YARA (notez le nom de la variable compte azur):

string azureAccout = SystemSettings.AzureBlobStorageAccount;

Cela dit, nous avons créé notre règle YARA qui inclut cela et bien plus encore ici à l’intérieur de notre référentiel public Threat Intel.

En outre, ça coute a partagé cette règle Sigma pour chasser les fichiers suspects, y compris humain2.aspxrecherchez dans les journaux d’événements IIS une activité similaire à celle décrite ci-dessus et détectez les fichiers DLL malveillants dans l’emplacement des fichiers ASP.NET temporaires.

Huntress a conçu des détecteurs pour signaler tout autre comportement malveillant du w3wp.exe traiter la mise en scène des compilations C# ou VB.

Ce que tu devrais faire

Progrès a publié des mesures d’atténuation immédiates pour aider à prévenir l’exploitation de cette vulnérabilité.

• Mettez à jour MOVEit Transfer vers l’une de ces versions corrigées :

• Si la mise à jour avec le correctif ci-dessus n’est pas possible pour votre organisation, l’atténuation suggérée consiste à désactiver le trafic HTTP(s) vers MOVEit Transfer en ajoutant des règles de refus de pare-feu aux ports 80 et 443. Notez que tCela mettra essentiellement votre application MOVEit Transfer hors service.

Indicateurs d’attaque (IOA)

Des dossiers

• C:MOVEitTransferwwwroothuman2.aspx

Adresses IP

• 89.39.105[.]108 (WorldStream)
• 5.252.190[.]0/24
• 5.252.189-195[.]X
• 148.113.152[.]144 (rapporté par la communauté)
• 138.197.152[.]201
• 209.97.137[.]33

Ressources et références

• Rapports de Bleeping Computer

• Aidez les rapports de Net Security

Merci aux membres de l’équipe Huntress Kaleigh Slayton, Jason Phelps, Dray Agha, Sharon Martin, Matt Anderson, Caleb Stewart, Joe Slowik, Anthony Smith, David Carter, Jamie Levy et bien d’autres pour leurs contributions à cette rédaction et à cet effort de réponse rapide.