cve-2023-34362 - RunkIntel

> [!danger] CVSS 9.8 - Crítico > SQL injection sem autenticação com execução remota de código. Mais de 2.500 organizações afetadas. > [!warning] CISA KEV - Exploração Ativa Confirmada > Adicionada ao catálogo CISA KEV em 2023-06-02. Explorada como zero-day pelo Cl0p. > [!success] Patch Disponível > Versão corrigida: MOVEit Transfer 2023.0.1. Aplicar imediatamente. # CVE-2023-34362 - Injeção SQL no MOVEit Transfer > CVSS: 9.8 · EPSS: 97% · Vendor: Progress Software · Patch: Sim · CISA KEV: Sim ## Resumo **CVE-2023-34362** é uma vulnerabilidade crítica de injeção SQL (SQLi) no [[_progress-software|Progress Software]] MOVEit Transfer, uma aplicação de transferência gerenciada de arquivos (MFT) amplamente utilizada para transferência segura de dados sensíveis. A falha permite que um atacante não autenticado acesse o banco de dados do MOVEit Transfer, possibilitando execução de código remoto. Esta vulnerabilidade foi explorada como zero-day pelo grupo de ransomware [[cl0p|Cl0p]] (também associado ao [[g0046-fin7|FIN11]]) em uma campanha massiva de exfiltração de dados que afetou centenas de organizações globalmente. A exploração foi detectada pela primeira vez em 27 de maio de 2023, antes da disponibilização do patch. **Pontuação de risco:** - CVSS v3.1: **9.8** (Crítico) - EPSS: **97%** de probabilidade de exploração nos próximos 30 dias - CISA KEV: adicionado em 2023-06-02 - Exploit público: zero-day explorado ativamente pelo [[cl0p|Cl0p]] ## Cadeia de Exploração ```mermaid graph TB ATK[Atacante / Cl0p] -->|Payload SQL sem autenticação| MOV[MOVEit Transfer Web] MOV -->|Query manipulada| DB[Banco de Dados] DB -->|Escrita de webshell LEMURLOOT| WS[human2.aspx Webshell] WS -->|Listagem e download de arquivos| EXF[Exfiltração de Dados] WS -->|Roubo de credenciais Azure| CRED[Credenciais Cloud] EXF -->|Dupla extorsão| RAN[Ameaça de Ransomware] ``` ## Detalhes Técnicos A vulnerabilidade reside na interface web do MOVEit Transfer e permite injeção SQL através de requisições HTTP manipuladas. O ataque envolve: 1. **Injeção SQL** no endpoint web do MOVEit Transfer sem autenticação 2. **Implantação de web shell** - os atacantes implantam um web shell ASP.NET personalizado chamado LEMURLOOT (`human2.aspx`), imitando o arquivo legítimo `human.aspx` 3. **Exfiltração de dados** - o web shell permite listar diretórios, baixar arquivos e roubar credenciais do Azure A falha afeta **todas as versões** do MOVEit Transfer, incluindo versões em fim de vida (EOL). A [[_palo-alto-networks|Palo Alto Networks]] identificou pelo menos 2.674 servidores MOVEit expostos na internet. ## Exploração **Status atual:** Exploração massiva confirmada - uma das campanhas de maior impacto de 2023. A [[_intel/sources|Mandiant]] identificou tentativas de exploração desde 27 de maio de 2023. O grupo [[cl0p|Cl0p]] utilizou esta vulnerabilidade para comprometer centenas de organizações, exfiltrando dados antes de exigir pagamento de resgate. **Grupos de ameaça utilizando:** - [[cl0p|Cl0p]] - grupo de ransomware responsável pela campanha massiva de exploração - [[g0046-fin7|FIN11]] - grupo de crime cibernético financeiro associado ao Cl0p **Campanhas associadas:** - [[moveit-transfer-campaign|MOVEit Transfer Campaign]] - campanha massiva de exfiltração de dados em maio-julho de 2023 **TTPs relacionadas:** - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - exploração da interface web exposta - [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]] - execução via web shell - [[t1505-003-web-shell|T1505.003 - Web Shell]] - implantação do LEMURLOOT - [[t1567-exfiltration-over-web-service|T1567 - Exfiltration Over Web Service]] - exfiltração de dados via web shell ## Impacto A campanha de exploração da CVE-2023-34362 foi uma das mais impactantes de 2023: - **Mais de 2.500 organizações** afetadas globalmente - **Mais de 60 milhões** de indivíduos tiveram dados comprometidos - Setores afetados incluem [[government]], [[financial]], [[healthcare|saúde]] e [[education|educação]] - Organizações como Shell, BBC, British Airways, US Department of Energy foram atingidas **Produtos Afetados:** | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | Progress Software | MOVEit Transfer | Todas as versões (incluindo EOL) | 2023.0.1 | ## Mitigação **Patch oficial:** - Advisory: [Progress Software - MOVEit Transfer Advisory](https://www.progress.com/security/moveit-transfer-and-moveit-cloud-vulnerability) - Versão corrigida: MOVEit Transfer 2023.0.1 - Data de lançamento do patch: 2023-05-31 **Ações de remediação:** 1. Aplicar o patch imediatamente em todas as instâncias do MOVEit Transfer 2. Verificar logs de acesso web para requisições suspeitas ao endpoint `/moveitisapi/moveitisapi.dll` 3. Buscar presença do arquivo `human2.aspx` como indicador de comprometimento 4. Verificar se há backups de dados não autorizados 5. Considerar desconectar instâncias do MOVEit Transfer da internet até a aplicação do patch **Mitigações temporárias:** - Bloquear tráfego HTTP/HTTPS para o MOVEit Transfer via firewall - Desabilitar o acesso web ao MOVEit Transfer - Revisar logs IIS para atividade suspeita ## Relevância LATAM/Brasil > [!latam] Impacto no Brasil e América Latina > O **MOVEit Transfer** é utilizado por organizações brasileiras nos setores financeiro e governamental para transferência segura de arquivos sensíveis. Empresas de auditoria, consultorias e instituições financeiras na região utilizam soluções MFT como o MOVEit. A campanha do **Cl0p** demonstrou que mesmo soluções especializadas em segurança podem ser vetores de comprometimento massivo, reforçando a necessidade de monitoramento contínuo e patching ágil em toda a cadeia de fornecedores de serviços financeiros. O [[_progress-software|Progress Software]] MOVEit Transfer é utilizado por organizações brasileiras nos setores [[financial]] e [[government]] para transferência segura de arquivos. Empresas de auditoria, consultorias e instituições financeiras na região utilizam soluções MFT como o MOVEit. A campanha do [[cl0p|Cl0p]] demonstrou que mesmo soluções especializadas em segurança podem ser vetores de comprometimento massivo, reforçando a necessidade de monitoramento contínuo e patching ágil. ## IoCs Indicadores de comprometimento públicos: - Arquivo web shell: `human2.aspx` em diretórios do MOVEit Transfer - Requisições anômalas para `/moveitisapi/moveitisapi.dll` - Consultas SQL incomuns nos logs do banco de dados do MOVEit - Conexões de saída para infraestrutura C2 do Cl0p Fontes: [CISA Advisory AA23-158A](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-158a), [Unit 42 - MOVEit Threat Brief](https://unit42.paloaltonetworks.com/threat-brief-moveit-CVE-2023-34362/) ## Referências - [NVD - CVE-2023-34362](https://nvd.nist.gov/vuln/detail/CVE-2023-34362) - [CISA Advisory AA23-158A - Cl0p MOVEit Exploitation](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-158a) - [Unit 42 - MOVEit Transfer Threat Brief](https://unit42.paloaltonetworks.com/threat-brief-moveit-CVE-2023-34362/) - [Mandiant - MOVEit Analysis](https://www.mandiant.com/resources/blog) - [Akamai - MOVEit SQLi Zero-Day](https://www.akamai.com/blog/security-research/moveit-sqli-zero-day-exploit-clop-ransomware) ## Notas Relacionadas **CVEs relacionados:** [[cve-2023-35036|CVE-2023-35036]] · [[cve-2023-35708|CVE-2023-35708]] **Atores explorando:** [[cl0p|Cl0p]] · [[g0046-fin7|FIN11]] **Campanhas:** [[moveit-transfer-campaign|MOVEit Transfer Campaign]] **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1505-003-web-shell|T1505.003 - Web Shell]] · [[t1567-exfiltration-over-web-service|T1567 - Exfiltration Over Web Service]] · [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]] **Setores em risco:** [[financial]] · [[government]] · [[healthcare|saúde]] --- ## Detecção e Resposta > [!warning] Aviso sobre as regras abaixo > As regras e consultas a seguir são **exemplos e pontos de partida**. Devem ser revisadas, > testadas e adaptadas ao seu ambiente específico antes de serem implantadas em produção. > Falsos positivos e negativos são esperados - tuning contínuo é necessário. Valide sempre > contra sua telemetria antes de ativar alertas. ### Splunk SPL **Detecção 1 - Web shell LEMURLOOT no diretório wwwroot (criação de arquivo):** ```spl | tstats `security_content_summariesonly` count min(_time) as firstTime max(_time) as lastTime FROM datamodel=Endpoint.Filesystem where Filesystem.file_path IN ("*\\MOVEitTransfer\\wwwroot\\*", "*\\MOVEitDMZ\\wwwroot\\*") AND Filesystem.file_name IN ("human2.aspx", "_human2.aspx", "*.aspx", "*.ashx") by Filesystem.dest Filesystem.file_name Filesystem.file_path Filesystem.file_create_time Filesystem.process_guid Filesystem.user | `drop_dm_object_name(Filesystem)` | `security_content_ctime(firstTime)` | `security_content_ctime(lastTime)` ``` **Detecção 2 - Compilação dinâmica de DLL maliciosa via w3wp.exe (indicador de exploração ativa):** ```spl | tstats count min(_time) as firstTime max(_time) as lastTime FROM datamodel=Endpoint.Processes where Processes.parent_process_name="w3wp.exe" AND Processes.parent_process="*moveitdmz pool*" AND Processes.process_name="csc.exe" by Processes.dest Processes.parent_process_name Processes.parent_process Processes.process_name Processes.user Processes.process_path | `drop_dm_object_name(Processes)` | `security_content_ctime(firstTime)` | `security_content_ctime(lastTime)` ``` **Detecção 3 - Requisições HTTP suspeitas aos endpoints do MOVEit (logs IIS):** ```spl source="iis" cs_uri_stem IN ("/human2.aspx", "/_human2.aspx", "/guestaccess.aspx", "/moveitisapi/moveitisapi.dll") | stats count, values(c_ip) as source_ips, values(cs_uri_query) as query_params by cs_uri_stem, sc_status | where count > 5 OR (cs_uri_stem IN ("/human2.aspx", "/_human2.aspx") AND sc_status=200) ``` Fonte de dados requerida: Sysmon (Event ID 11 FileCreate, Event ID 1 ProcessCreate) ingerido no Endpoint data model do Splunk; logs IIS do servidor MOVEit Transfer. ### Microsoft Sentinel (KQL) **Detecção 1 - Processo csc.exe filho de w3wp.exe no contexto do MOVEit:** ```kql DeviceProcessEvents | where InitiatingProcessFileName =~ "w3wp.exe" and InitiatingProcessCommandLine contains "moveitdmz pool" and FileName =~ "csc.exe" | project Timestamp, DeviceName, InitiatingProcessId, ProcessId, FileName, InitiatingProcessCommandLine, ProcessCommandLine | summarize ExecCount = count() by DeviceName, bin(Timestamp, 1h) ``` **Detecção 2 - Criação de arquivos suspeitos no diretório web do MOVEit:** ```kql DeviceFileEvents | where ActionType in ("FileCreated", "FileRenamed") and (FolderPath contains @"\MOVEitTransfer\wwwroot\" or FolderPath contains @"\MOVEitDMZ\wwwroot\") and (FileName in ("human2.aspx", "_human2.aspx") or FileName endswith ".dll") | project Timestamp, DeviceName, FolderPath, FileName, InitiatingProcessName, InitiatingProcessCommandLine ``` **Detecção 3 - Requisições HTTP a web shells via logs IIS no Sentinel:** ```kql W3CIISLog | where csUriStem in ("/human2.aspx", "/_human2.aspx", "/guestaccess.aspx") and (csMethod == "GET" or scStatus == 200) | project TimeGenerated, Computer, cIp, csUriStem, scStatus, csUserAgent | summarize RequestCount = count(), UniqueSourceIPs = dcount(cIp) by Computer, csUriStem | where RequestCount > 1 or csUriStem in ("/human2.aspx", "/_human2.aspx") ``` Tabela(s): `DeviceProcessEvents`, `DeviceFileEvents`, `W3CIISLog` ### Sigma Rule ```yaml title: Detect CVE-2023-34362 MOVEit Transfer Web Shell Request (LEMURLOOT) id: 435e41f2-48eb-4c95-8a2b-ed24b50ec30b status: experimental description: > Detecta requisições GET a arquivos conhecidos do web shell LEMURLOOT (human2.aspx / _human2.aspx) implantado durante a exploração de CVE-2023-34362 no MOVEit Transfer. Requisições a esses caminhos são altamente suspeitas - não existem em operações normais do MOVEit. references: - [[t1505-003-web-shell]] - https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023 - https://www.mandiant.com/resources/blog/zero-day-moveit-data-theft - https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-158a author: Nasreddine Bencherchali (Nextron Systems) - adaptado para RunkIntel date: 2023-06-03 modified: 2023-07-28 logsource: category: webserver detection: selection: cs-method: 'GET' cs-uri-stem|contains: - '/human2.aspx' - '/_human2.aspx' condition: selection falsepositives: - Extremamente improvável em ambientes de produção - arquivos não existem em instalações legítimas level: critical tags: - attack.persistence - attack.t1505.003 - attack.initial_access - attack.t1190 ``` **Sigma Rule 2 - Compilação dinâmica de DLL via csc.exe:** ```yaml title: Detect CVE-2023-34362 MOVEit Transfer Dynamic DLL Compilation id: 39ac1fb0-07f1-474b-b97e-c5c0eace0d79 status: experimental description: > Detecta execução de csc.exe (compilador C#) iniciada pelo processo w3wp.exe no contexto do application pool do MOVEit Transfer. Este padrão indica compilação dinâmica de DLL maliciosa durante exploração de CVE-2023-34362. references: - [[t1059-command-scripting-interpreter]] - https://www.huntress.com/blog/moveit-transfer-critical-vulnerability-rapid-response logsource: category: process_creation product: windows detection: selection: ParentImage|endswith: '\w3wp.exe' ParentCommandLine|contains: 'moveitdmz pool' Image|endswith: '\csc.exe' condition: selection falsepositives: - Instalação inicial do software MOVEit e aplicação de atualizações legítimas level: high tags: - attack.execution - attack.t1059 ``` ### EDR #### CrowdStrike Falcon Custom IOA Rule (Behavioral): Regra de comportamento baseada em pesquisa pública do CrowdStrike (blog "Discovering MOVEit Software Vulnerability"): - **Evento**: `NewScriptWritten` ou `WebScriptFileWritten` com `TargetFilename` contendo `moveit` e path `\wwwroot\` - **Pai do processo**: `w3wp.exe` com `CommandLine` contendo `moveitdmz pool` - **Processo filho**: `csc.exe` Threat Graph Query (Falcon Data Replicator / Event Search): ``` event_platform=Win event_simpleName IN (NewScriptWritten, WebScriptFileWritten) "moveit" | search FilePath="*\\wwwroot\\" | stats dc(aid) as endpointCount, count(aid) as writeCount, values(ComputerName) as hosts, values(event_simpleName) as events by FileName, FilePath ``` #### SentinelOne Deep Visibility Query: ``` ProcessName contains "w3wp.exe" AND ParentProcessCommandLine contains "MOVEitdmz pool" AND ChildProcessName contains "csc.exe" ``` ``` EventType = "File Creation" AND FilePath contains "MOVEitTransfer\wwwroot" AND (FileName contains "human2.aspx" OR FileName contains "_human2.aspx") ``` O SentinelOne detecta comportamentalmente o padrão de criação do web shell LEMURLOOT (`X-siLock-Comment`, `X-siLock-Step1`, `X-siLock-Step2`, `X-siLock-Step3` no conteúdo do arquivo) e isola o processo automaticamente quando o módulo de proteção contra web shells está ativo. #### Microsoft Defender for Endpoint (MDE) Advanced Hunting (KQL): ```kql // Detecção do web shell LEMURLOOT + compilação maliciosa union DeviceProcessEvents, DeviceFileEvents | where Timestamp > ago(30d) | where (ActionType == "ProcessCreated" and InitiatingProcessFileName =~ "w3wp.exe" and InitiatingProcessCommandLine contains "moveitdmz pool" and FileName =~ "csc.exe") or (ActionType in ("FileCreated","FileRenamed") and (FolderPath contains @"\MOVEitTransfer\wwwroot\" or FolderPath contains @"\MOVEitDMZ\wwwroot\") and (FileName in ("human2.aspx","_human2.aspx") or (FileName startswith "App_Web_" and FileName endswith ".dll"))) | project Timestamp, DeviceName, ActionType, FileName, FolderPath, InitiatingProcessCommandLine, ReportId | sort by Timestamp desc ``` ### Firewall / Network #### Palo Alto Networks (PAN-OS) Bloquear acesso HTTP/HTTPS à interface web do MOVEit Transfer de fontes não autorizadas usando Security Policy. O Threat Prevention do PAN-OS detecta o padrão de exploração via análise de payload HTTP. App-ID / Threat ID relevante: Threat ID **92217** (MOVEit Transfer SQL Injection) - disponível via Palo Alto Networks Threat Vault e públicado pela Unit 42 após divulgação da CVE. Verificar atualização do content package para garantir cobertura. #### Fortinet FortiGate O FortiGuard Labs públicou assinatura IPS específica para esta CVE após divulgação em maio de 2023. IPS Signature: `HTTP.MOVEit.Transfer.SQL.Injection` - verificar no FortiGuard Threat Encyclopedia e aplicar o pacote de definições IPS mais recente (versão ≥ 22.00400 recomendada para cobertura de CVE-2023-34362). Ativar modo "block" na política IPS aplicada ao segmento onde o MOVEit Transfer está hospedado.