Update #2 - Kritische Sicherheitslücke in MOVEit Transfer - Updates verfügbar
01. Juni 2023
Beschreibung
In MOVEit Transfer existiert eine kritische Sicherheitslücke, die eine Rechteausweitung und potentiell unautorisierten Zugriff ermöglicht.
CVE-Nummer(n): TBA
CVSS Base Score: TBA
Auswirkungen
Bis jetzt wurde die Lücke für Datendiebstahl ausgenutzt. Das volle Potential der Lücke ist jedoch noch nicht bekannt.
Betroffene Systeme
Versionen die niedriger sind als:
- < MOVEit Transfer 2023.0.1
- < MOVEit Transfer 2022.0.4
- < MOVEit Transfer 2022.1.5
- < MOVEit Transfer 2021.1.4
- < MOVEit Transfer 2021.0.6
Abhilfe
Einspielen der vom Hersteller zur Verfügung gestellten Patches.
Mitigation: Der Hersteller empfiehlt jeglichen HTTP und HTTPs Verkehr zur MOVEit Transfer Umgebung zu blockieren.
IOCs für potentielle Webshell:
- Prüfen Sie den Ordner c:\MOVEit Transfer\wwwroot\ auf unbekannte Dateien (inkl. Backups).
- Prüfen Sie ob größere Datentransfers stattgefunden haben.
- Sperren Sie die IP 5[.]252.191.14
- Suchen Sie nach der Datei "human2.aspx" im Ordner: c:\MOVEit Transfer\wwwroot\
- 89.39.105[.]108 (WorldStream)
- 5.252.190[.]0/24
- 5.252.189-195[.]x
- 148.113.152[.]144 (reported by the community)
- 138.197.152[.]201
- 209.97.137[.]33
- 198.27.75.110
- 209.222.103.170
- 84.234.96.104
- human2.aspx.lnk
- C:\Windows\TEMP\[random]\[random].cmdline
- POST /moveitisapi/moveitisapi.dll
- POST /guestaccess.aspx
- POST /api/v1/folders/[random]/files
- Health Check Service (Name des MOVEit Transfer Kontos/Benutzername)
- SHA256 Hashes der Human2.aspx Datei:
- 0b3220b11698b1436d1d866ac07cc90018e59884e91a8cb71ef8924309f1e0e9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- 0b3220b11698b1436d1d866ac07cc90018e59884e91a8cb71ef8924309f1e0e9
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
Informationsquelle(n):
MOVEit Transfer Advisory (englisch):
https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023
Artikel auf Reddit (englisch):
https://www.reddit.com/r/msp/comments/13xjs1y/tracking_emerging_moveit_transfer_critical/
Artikel bei Rapid7 (englisch):
https://www.rapid7.com/blog/post/2023/06/01/rapid7-observed-exploitation-of-critical-moveit-transfer-vulnerability/
Update #1: Atrikerl bei Huntress (englisch):
https://www.huntress.com/blog/moveit-transfer-critical-vulnerability-rapid-response