Vulnerabilità di SQL injection colpisce MOVEit Transfer: un appello alla sicurezza

La società Progress Software ha recentemente aggiornato un avviso di sicurezza confermando l'esistenza di una vulnerabilità di tipo SQL Injection nell'applicazione web MOVEit Transfer. Nonostante non sia stata ancora assegnata un numero CVE, questa vulnerabilità potrebbe consentire a un aggressore non autenticato di accedere in modo non autorizzato al database dell'applicazione. Secondo le informazioni fornite, un attaccante potrebbe essere in grado di dedurre informazioni relative alla struttura e al contenuto del database, oltre ad eseguire istruzioni SQL che potrebbero alterare o cancellare elementi del database. Questo potrebbe accadere indipendentemente dal motore del database utilizzato, che potrebbe essere MySQL, Microsoft SQL Server o Azure SQL. La vulnerabilità riguarda tutte le versioni di MOVEit Transfer.

Misure di prevenzione e rimedio

L'avviso di sicurezza include anche link alle versioni aggiornate dell'applicazione che contengono la correzione del bug, nonché indicatori di compromissione (IoCs) - come script, webshells, indirizzi IP C2, account utente - e consigli più dettagliati per la pulizia del sistema. Tra le misure consigliate vi sono la disabilitazione di tutto il traffico HTTP e HTTPS verso l'ambiente di MOVEit Transfer, l'eliminazione di file e account utente non autorizzati, il reset delle credenziali e l'installazione della patch o l'aggiornamento dell'installazione a una versione corretta. Infine, dopo l'abilitazione del traffico HTTP e HTTPS, si dovrebbe verificare che la pulizia sia stata eseguita con successo e che non restino account non autorizzati. Nel caso in cui la pulizia non sia stata efficace, sarebbe necessario ripetere la procedura.

L'indagine dei ricercatori e fonti di informazione

Diversi ricercatori provenienti da Huntress, TrustedSec e Rapid7 hanno analizzato il webshell/backdoor, rilasciato firme YARA e regole SIGMA per rilevare IoCs e ricercare file sospetti, e condiviso informazioni più tecniche sugli attacchi. Queste informazioni potrebbero essere utili per gli addetti alla sicurezza per indagare ulteriormente sulle possibili intrusioni. Inoltre, un thread Reddit fornisce informazioni recenti e dettagli aggiuntivi, con il contributo apparentemente di sysadmin e professionisti della sicurezza provenienti da alcune delle organizzazioni compromesse.

L'impatto della vulnerabilità

Ancora non è noto il numero esatto di organizzazioni colpite dall'incidente, ma Rapid7 riferisce che i suoi team di servizi gestiti hanno osservato l'exploit di questa vulnerabilità in molteplici ambienti cliente. John Hammond, cacciatore di minacce e ricercatore presso Huntress, ha riferito che, sebbene meno di dieci organizzazioni nel loro network di partner utilizzino il software MOVEit Transfer, Shodan suggerisce che esistano oltre 2.500 server accessibili pubblicamente su Internet. Tuttavia, solamente una delle loro organizzazioni ha riscontrato un attacco completo con tutti gli indicatori di compromissione. La maggior parte di questi server affacciati su Internet si trova negli Stati Uniti. Kevin Beaumont, ricercatore di sicurezza, riferisce che le intrusioni avrebbero avuto inizio diverse settimane fa e che avrebbe ricevuto segnalazioni di "molteplici incidenti presso varie organizzazioni". Secondo Beaumont, le operazioni di preparazione all'attacco sarebbero durate settimane, se non mesi. L'incidente avrebbe colpito anche l'offerta SaaS di MOVEit (MOVEit Cloud), che Progress Software avrebbe poi disabilitato. Al momento, non sono state segnalate richieste di riscatto da parte degli aggressori per restituire le informazioni rubate.