Der MOVEit-Hack und seine Nachwirkungen

Was selbst Nicht-Nutzer aus dem MOVEit Transfer Hack lernen können.

Selbst wenn Sie die File-Sharing-App MOVEit Transfer nicht kennen, lohnt es sich dennoch zu erfahren, wie sie gehackt wurde – Hunderte von Unternehmen waren von dem Hack betroffen, darunter Shell, das Bildungsministerium des Bundesstaates New York (The New York State Education Department), die BBC, Boots, Aer Lingus, British Airways, mehrere große Gesundheitsdienstleister aus aller Welt, die University of Georgia und Heidelberger Druck. Ironischer- und traurigerweise wird MOVEit Transfer von seinen Entwicklern, Ipswitch (jetzt Teil eines Unternehmens namens Progress), als sichere Managed File Transfer Software für Unternehmen angepriesen. Sie stellt ein MFT-System (Managed File Transfer) dar, mit dem Mitarbeiter große Dateien über SFTP, SCP und HTTP mit Geschäftspartnern austauschen können – sowohl in Form einer Cloud- als auch On-Premise-Lösung.

Die Serie von Vorfällen ist ein abschreckendes Beispiel für alle, die für die Informationssicherheit eines Unternehmens verantwortlich sind.

So wurde MOVEit Transfer gehackt

Ohne jede Wendung in den turbulenten anderthalb Monaten der MOVEit-Benutzer zu erläutern, wollen wir im Anschluss dennoch auf die wichtigsten Ereignisse eingehen.

Berichte über verdächtige Aktivitäten in den Netzwerken vieler Unternehmen, die MOVEit Transfer nutzten, tauchten erstmals am 27. Mai 2023 auf. Einer Untersuchung zufolge nutzten böswillige Akteure eine unbekannte Sicherheitslücke aus, um mit Hilfe von SQL-Abfragen Daten zu stehlen.

Am 31. Mai veröffentlichte Progress sein erstes Sicherheitsbulletin, in dem die bis dahin veröffentlichten Fehlerbehebungen zusammengefasst waren und Maßnahmen zur Abhilfe empfohlen wurden. Zunächst ging das Unternehmen davon aus, dass das Problem auf lokale Installationen beschränkt war, später wurde jedoch klar, dass auch die Cloud-Version von MOVEit betroffen war. MOVEit Cloud wurde infolgedessen vorübergehend zwecks Patching und Vorfallsanalyse eingestellt. Die Forscher von Rapid7 zählten insgesamt 2.500 anfällige On-Premise-Server.

Am 2. Juni wurde die Schwachstelle mit der Kennung CVE-2023-34362 und einem CVSS-Score von 9,8 (von 10) versehen. Die Sicherheitsforscher schrieben die Bedrohung der Ransomware-Gruppe cl0p zu. Forscher von Kroll berichteten am 9. Juni, dass der MOVEit-Exploit wahrscheinlich bereits seit 2021 getestet wurde. Die Ermittlungen ergaben, dass die Cyberangriffskette nicht unbedingt mit einer SQL-Injektion endet, sondern auch das Ausführen von Code umfassen könnte.

Zugutehalten muss man Progress, dass sie nicht nur die Software gepatcht haben. Das Unternehmen veranlasste ein Code-Audit, wodurch es dem Unternehmen Huntress möglich war, sowohl die gesamte Angriffskette zu reproduzieren als auch eine weitere Schwachstelle (CVE-2023-35036) zu entdecken, die, wie im nächsten Bulletin angekündigt, am 9. Juni behoben werden sollte. Noch bevor viele Administratoren die Gelegenheit hatten, diesen Patch zu installieren, entdeckte Progress selbst ein weiteres Problem – CVE-2023-35708 – und veröffentlichte es in seinem Bulletin vom 15. Juni. MOVEit Cloud wurde erneut für zehn Stunden außer Betrieb genommen, um die Patches zu installieren.

Der 15. Juni war auch deshalb bedeutend, weil die Hacker Einzelheiten über einige der Opfer veröffentlichten und mit den Lösegeld-Verhandlungen begannen. Nur 2 Tage später setzte die US-Regierung ein Kopfgeld in Höhe von bis zu 10 Millionen US-Dollar auf die Gruppe aus.

Am 26. Juni kündigte Progress an, MOVEit Cloud am 2. Juli für drei Stunden stillzulegen, um die Sicherheit der Server zu erhöhen.

Am 6. Juli veröffentlichten die Entwickler ein weiteres Update, mit dem drei weitere Schwachstellen behoben wurden – eine davon wurde als kritisch eingestuft (CVE-2023-36934CVE-2023-36932 und CVE-2023-36933).

File-Sharing-Dienste als praktischer Angriffsvektor

Der Angriff auf MOVEit Transfer Ende Mai ist nicht der erste seiner Art. Bereits im Januar wurde eine ähnliche Serie von Angriffen auf Fortra GoAnywhere MFT in die Wege geleitet, und Ende 2020 wurde eine Schwachstelle in Accellion FTA massiv ausgenutzt.

Viele Angriffe zielen darauf ab, sich privilegierten Zugang zu Servern zu verschaffen oder beliebigen Code auszuführen, was in diesem Fall ebenfalls geschah, das Ziel der Hacker jedoch bestand meistens darin, einen schnellen, möglichst risikoarmen Angriff durchzuführen, um Zugang zu den Datenbanken eines File-Sharing-Dienstes zu erhalten. So können Dateien erbeutet werden, ohne tief in das System eindringen zu müssen, um unauffällig zu operieren. Schließlich ist der Download von Dateien, die auch dafür gedacht sind, nicht besonders verdächtig.

Andererseits sammeln File-Sharing-Datenbanken in der Regel viele wirklich wichtige Informationen: So gab ein Opfer des MOVEit-Transfer-Angriffs zu, dass das Leck die Daten von 45.000 Studenten und Schülern enthielt.

Für die Sicherheitsteams bedeutet dies, dass solche Anwendungen und ihre Konfiguration besondere Aufmerksamkeit erfordern: Zu den Maßnahmen, die hier ergriffen werden müssen, gehören die Einschränkung des Administratorzugriffs sowie zusätzliche Sicherheitsmaßnahmen in Bezug auf Datenbank-Management und Netzwerkschutz. Unternehmen sollten die Cyberhygiene ihrer Angestellten fördern, beispielsweise indem sie ihnen beibringen, Dateien aus dem File-Exchange-System zu löschen, sobald sie diese nicht mehr benötigen, und sie nur mit einem Minimum an Benutzern zu teilen.

Legen Sie den Fokus auf Server

Für Cyberkriminelle, die es auf den Diebstahl von Daten abgesehen haben, sind Server ein leichtes Ziel, da diese nicht besonders streng überwacht werden und eine große Menge an Daten enthalten. So überrascht es nicht, dass Hacker nicht nur beliebte serverseitige Apps mit Angriffen wie ProxyShell oder ProxyNotShell massiv ausnutzen, sondern auch weniger bekannte Wege gehen, indem sie die Verschlüsselung von ESXi-Farmen und Oracle-Datenbanken meistern oder Dienste wie MOVEit Transfer erproben, die in der Unternehmenswelt beliebt, aber in der allgemeinen Öffentlichkeit weniger bekannt sind. Aus diesem Grunde müssen sich Sicherheitsteams auf Server konzentrieren.

Scheint eine Anwendung nur wenige Schwachstellen zu haben, hat niemand nach ihnen gesucht

Die Frage nach Prioritäten stellt sich immer dann, wenn ein Unternehmen beginnt, über Patches zu diskutieren. Es gibt Hunderte von Schwachstellen, und es ist unmöglich, sie in allen Anwendungen und auf allen Computern überall und gleichzeitig zu beheben. Daher müssen sich Systemadministratoren auf die gefährlichsten Schwachstellen konzentrieren – oder auf diejenigen, die am weitesten verbreitet sind, weil sie gängige Software betreffen. Die Geschichte von MOVEit zeigt uns, dass diese Landschaft dynamisch ist: Wenn Sie das letzte Jahr damit verbracht haben, Lücken in Exchange oder anderen Microsoft-Produkten zu schließen, bedeutet das nicht, dass Sie sich weiterhin hauptsächlich auf diese konzentrieren müssen. Es ist von großer Bedeutung, Threat Intelligence-Trends zu verfolgen und nicht nur bestimmte neue Bedrohungen zu beseitigen, sondern auch deren mögliche Auswirkungen auf Ihr Unternehmen abzuschätzen.

Tipps