{"id":30327,"date":"2023-07-14T15:16:38","date_gmt":"2023-07-14T13:16:38","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=30327"},"modified":"2023-07-14T15:16:38","modified_gmt":"2023-07-14T13:16:38","slug":"moveit-transfer-attack-protection","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/moveit-transfer-attack-protection\/30327\/","title":{"rendered":"Der MOVEit-Hack und seine Nachwirkungen"},"content":{"rendered":"

Selbst wenn Sie die File-Sharing-App MOVEit Transfer nicht kennen, lohnt es sich dennoch zu erfahren, wie sie gehackt wurde \u2013 Hunderte von Unternehmen waren von dem Hack betroffen, darunter Shell, das Bildungsministerium des Bundesstaates New York (The New York State Education Department<\/em>), die BBC<\/a>, Boots, Aer Lingus, British Airways, mehrere gro\u00dfe Gesundheitsdienstleister aus aller Welt, die University of Georgia<\/em> und Heidelberger Druck. Ironischer- und traurigerweise wird MOVEit Transfer<\/a> von seinen Entwicklern, Ipswitch (jetzt Teil eines Unternehmens namens Progress), als sichere Managed File Transfer Software f\u00fcr Unternehmen angepriesen. Sie stellt ein MFT-System (Managed File Transfer) dar, mit dem Mitarbeiter gro\u00dfe Dateien \u00fcber SFTP, SCP und HTTP mit Gesch\u00e4ftspartnern austauschen k\u00f6nnen \u2013 sowohl in Form einer Cloud- als auch On-Premise-L\u00f6sung.<\/p>\n

Die Serie von Vorf\u00e4llen ist ein abschreckendes Beispiel f\u00fcr alle, die f\u00fcr die Informationssicherheit eines Unternehmens verantwortlich sind.<\/p>\n

So wurde MOVEit Transfer gehackt<\/h2>\n

Ohne jede Wendung in den turbulenten anderthalb Monaten der MOVEit-Benutzer zu erl\u00e4utern, wollen wir im Anschluss dennoch auf die wichtigsten Ereignisse eingehen.<\/p>\n

Berichte \u00fcber verd\u00e4chtige Aktivit\u00e4ten in den Netzwerken vieler Unternehmen, die MOVEit Transfer nutzten, tauchten erstmals am 27. Mai 2023 auf. Einer Untersuchung zufolge nutzten b\u00f6swillige Akteure eine unbekannte Sicherheitsl\u00fccke aus, um mit Hilfe von SQL-Abfragen Daten zu stehlen.<\/p>\n

Am 31. Mai ver\u00f6ffentlichte Progress sein erstes Sicherheitsbulletin<\/a>, in dem die bis dahin ver\u00f6ffentlichten Fehlerbehebungen zusammengefasst waren und Ma\u00dfnahmen zur Abhilfe empfohlen wurden. Zun\u00e4chst ging das Unternehmen davon aus, dass das Problem auf lokale Installationen beschr\u00e4nkt war, sp\u00e4ter wurde jedoch klar, dass auch die Cloud-Version von MOVEit betroffen<\/a> war. MOVEit Cloud wurde infolgedessen vor\u00fcbergehend zwecks Patching und Vorfallsanalyse eingestellt<\/a>. Die Forscher von Rapid7 z\u00e4hlten<\/a> insgesamt 2.500 anf\u00e4llige On-Premise-Server.<\/p>\n

Am 2. Juni wurde die Schwachstelle mit der Kennung CVE-2023-34362<\/a> und einem CVSS-Score von 9,8 (von 10) versehen. Die Sicherheitsforscher schrieben die Bedrohung der Ransomware-Gruppe cl0p zu<\/a>. Forscher von Kroll berichteten am 9. Juni, dass der MOVEit-Exploit wahrscheinlich bereits seit 2021 getestet wurde<\/a>. Die Ermittlungen ergaben, dass die Cyberangriffskette nicht unbedingt mit einer SQL-Injektion endet, sondern auch das Ausf\u00fchren von Code umfassen k\u00f6nnte.<\/p>\n

Zugutehalten muss man Progress, dass sie nicht nur die Software gepatcht haben. Das Unternehmen veranlasste ein Code-Audit, wodurch es dem Unternehmen Huntress m\u00f6glich war, sowohl die gesamte Angriffskette zu reproduzieren als auch eine weitere Schwachstelle (CVE-2023-35036<\/a>) zu entdecken, die, wie im n\u00e4chsten Bulletin<\/a> angek\u00fcndigt, am 9. Juni behoben werden sollte. Noch bevor viele Administratoren die Gelegenheit hatten, diesen Patch zu installieren, entdeckte Progress selbst ein weiteres Problem \u2013 CVE-2023-35708<\/a> \u2013 und ver\u00f6ffentlichte es in seinem Bulletin vom 15. Juni<\/a>. MOVEit Cloud wurde erneut f\u00fcr zehn Stunden au\u00dfer Betrieb<\/a> genommen, um die Patches zu installieren.<\/p>\n

Der 15. Juni war auch deshalb bedeutend, weil die Hacker Einzelheiten \u00fcber einige der Opfer ver\u00f6ffentlichten und mit den L\u00f6segeld-Verhandlungen begannen<\/a>. Nur 2 Tage sp\u00e4ter setzte die US-Regierung ein Kopfgeld in H\u00f6he von bis zu 10 Millionen US-Dollar<\/a> auf die Gruppe aus.<\/p>\n

Am 26. Juni k\u00fcndigte Progress an, MOVEit Cloud am 2. Juli f\u00fcr drei Stunden stillzulegen, um die Sicherheit der Server zu erh\u00f6hen.<\/p>\n

Am 6. Juli ver\u00f6ffentlichten die Entwickler ein weiteres Update, mit dem drei weitere Schwachstellen behoben wurden \u2013 eine davon wurde als kritisch eingestuft (CVE-2023-36934<\/a>,\u00a0CVE-2023-36932<\/a>\u00a0und\u00a0CVE-2023-36933<\/a>).<\/p>\n

File-Sharing-Dienste als praktischer Angriffsvektor<\/h2>\n

Der Angriff auf MOVEit Transfer Ende Mai ist nicht der erste seiner Art. Bereits im Januar wurde eine \u00e4hnliche Serie von Angriffen auf Fortra GoAnywhere MFT<\/a> in die Wege geleitet, und Ende 2020 wurde eine Schwachstelle in Accellion FTA<\/a> massiv ausgenutzt.<\/p>\n

Viele Angriffe zielen darauf ab, sich privilegierten Zugang zu Servern zu verschaffen oder beliebigen Code auszuf\u00fchren, was in diesem Fall ebenfalls geschah, das Ziel der Hacker jedoch bestand meistens darin, einen schnellen, m\u00f6glichst risikoarmen Angriff durchzuf\u00fchren, um Zugang zu den Datenbanken eines File-Sharing-Dienstes zu erhalten. So k\u00f6nnen Dateien erbeutet werden, ohne tief in das System eindringen zu m\u00fcssen, um unauff\u00e4llig zu operieren. Schlie\u00dflich ist der Download von Dateien, die auch daf\u00fcr gedacht sind, nicht besonders verd\u00e4chtig.<\/p>\n

Andererseits sammeln File-Sharing-Datenbanken in der Regel viele wirklich wichtige Informationen: So gab ein Opfer des MOVEit-Transfer-Angriffs zu, dass das Leck die Daten von 45.000 Studenten und Sch\u00fclern<\/a> enthielt.<\/p>\n

F\u00fcr die Sicherheitsteams bedeutet dies, dass solche Anwendungen und ihre Konfiguration besondere Aufmerksamkeit erfordern: Zu den Ma\u00dfnahmen, die hier ergriffen werden m\u00fcssen, geh\u00f6ren die Einschr\u00e4nkung des Administratorzugriffs sowie zus\u00e4tzliche Sicherheitsma\u00dfnahmen in Bezug auf Datenbank-Management und Netzwerkschutz. Unternehmen sollten die Cyberhygiene ihrer Angestellten f\u00f6rdern, beispielsweise indem sie ihnen beibringen, Dateien aus dem File-Exchange-System zu l\u00f6schen, sobald sie diese nicht mehr ben\u00f6tigen, und sie nur mit einem Minimum an Benutzern zu teilen.<\/p>\n

Legen Sie den Fokus auf Server<\/h2>\n

F\u00fcr Cyberkriminelle, die es auf den Diebstahl von Daten abgesehen haben, sind Server ein leichtes Ziel, da diese nicht besonders streng \u00fcberwacht werden und eine gro\u00dfe Menge an Daten enthalten. So \u00fcberrascht es nicht, dass Hacker nicht nur beliebte serverseitige Apps mit Angriffen wie ProxyShell oder ProxyNotShell<\/a> massiv ausnutzen, sondern auch weniger bekannte Wege gehen, indem sie die Verschl\u00fcsselung von ESXi-Farmen<\/a> und Oracle-Datenbanken<\/a> meistern oder Dienste wie MOVEit Transfer erproben, die in der Unternehmenswelt beliebt, aber in der allgemeinen \u00d6ffentlichkeit weniger bekannt sind. Aus diesem Grunde m\u00fcssen sich Sicherheitsteams auf Server konzentrieren.<\/p>\n