# CVE-2023-35036 ## Visão Geral CVE-2023-35036 é uma vulnerabilidade de **SQL Injection** no [[moveit-transfer|MOVEit Transfer]] da Progress Software, descoberta como segunda falha em sequência após a exploração massiva de [[cve-2023-34362|CVE-2023-34362]] em junho de 2023. A falha permite que atacantes não autenticados submetam payloads SQL maliciosas via parâmetros da API REST ou endpoints HTTP do MOVEit Transfer, resultando em acesso não autorizado ao banco de dados - incluindo exfiltração de arquivos transferidos, listas de usuários e configurações. Esta CVE foi divulgada pela Progress Software em 9 de junho de 2023, dias após a divulgação e exploração ativa de [[cve-2023-34362|CVE-2023-34362]], enquanto a empresa conduzia uma revisão de segurança mais profunda do produto. O [[cl0p|Cl0p]] foi identificado como o principal agente responsável pela campanha de exploração do ecossistema MOVEit, tendo comprometido mais de 2.700 organizações globalmente, incluindo agências do governo dos EUA, bancos, seguradoras e empresas de energia. O grupo coletou dados sem implantar ransomware diretamente, preferindo extorsão por exfiltração. A campanha MOVEit do [[cl0p|Cl0p]] representou uma mudança tática significativa no ecossistema de ransomware: em vez de criptografar dados e exigir resgate, o grupo priorizou a exfiltração massiva de dados sensíveis para extorsão via seu site de vazamentos. Esta abordagem permitiu comprometer centenas de organizações simultaneamente, explorando a cadeia de suprimentos de transferência segura de arquivos. ## Attack Flow ```mermaid graph TB A["📡 Reconhecimento<br/>Scan por instâncias MOVEit<br/>Transfer expostas na internet"] --> B["💥 SQL Injection<br/>Payloads maliciosos via API<br/>REST ou endpoints HTTP"] B --> C["🔑 Acesso ao Banco de Dados<br/>Leitura de arquivos, usuários<br/>e configurações do MOVEit"] C --> D["🛡️ Webshell LEMURLOOT<br/>Implantação de human2.aspx<br/>com autenticação via header"] D --> E["📤 Exfiltração Massiva<br/>Download de arquivos sensíveis<br/>incluindo Azure Blob Storage"] E --> F["🔗 Extorsão<br/>Publicação de dados roubados<br/>no site CL0P LEAKS"] ``` ## Detalhes Técnicos A vulnerabilidade reside no processamento inadequado de entradas em parâmetros da aplicação web MOVEit Transfer. Atacantes podem injetar comandos SQL que permitem: 1. **Escalação de privilégios** no banco de dados subjacente 2. **Execução remota de código** via manipulação de queries SQL 3. **Modificação de tabelas** e registros do banco de dados 4. **Exfiltração de arquivos** transferidos e armazenados no MOVEit O webshell **LEMURLOOT** (human2.aspx), escrito em C#, utiliza o cabeçalho HTTP `X-siLock-Comment` com senha hardcoded para autenticação. Requisições sem a senha correta retornam HTTP 404, dificultando a detecção. **TTPs observadas:** - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - exploração de instâncias MOVEit expostas - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - execução de comandos via webshell - [[t1005-data-from-local-system|T1005 - Data from Local System]] - coleta de dados de transferência - [[t1567-exfiltration-over-web-service|T1567 - Exfiltration Over Web Service]] - exfiltração para infraestrutura do Cl0p - [[t1505-003-web-shell|T1505.003 - Web Shell]] - implantação do LEMURLOOT ## Mitigação 1. Atualizar para versões corrigidas: 2021.0.8+, 2022.0.4+, 2023.0.1+ 2. Aplicar os patches de junho 2023 em sequência 3. Revisar logs de acesso e checar presença do webshell `human2.aspx` 4. Monitorar tabelas de banco de dados por acessos não autorizados 5. Verificar cabeçalhos HTTP `X-siLock-Comment` em logs do IIS 6. Bloquear acesso externo ao MOVEit Transfer quando possível ## Relevância LATAM/Brasil > [!latam] Impacto Regional > O MOVEit Transfer é utilizado por grandes corporações e órgãos governamentais na América Latina para transferência segura de arquivos, especialmente nos setores **financeiro**, **saúde** e **governo**. Bancos brasileiros e instituições financeiras que dependem de soluções MFT (Managed File Transfer) para compartilhamento de dados regulatórios ficaram particularmente expostos. > > A campanha do Cl0p afetou mais de 2.700 organizações globalmente, e embora não haja confirmação pública de vítimas brasileiras específicas, a presença do MOVEit em ambientes corporativos da região sugere exposição significativa. Empresas de **seguros**, **energia** e **telecomúnicações** que utilizam MOVEit para troca de dados sensíveis com parceiros internacionais estiveram na zona de risco. > > O padrão de ataque supply-chain do Cl0p - explorando um software de transferência de arquivos amplamente adotado - demonstra como vulnerabilidades em ferramentas de infraestrutura podem ter impacto desproporcional em economias emergentes com ciclos de patching mais longos. O CERT.br e reguladores como o **Banco Central do Brasil** devem monitorar ativamente a exposição a este tipo de ataque à cadeia de suprimentos. ## Referências - [NVD - CVE-2023-35036](https://nvd.nist.gov/vuln/detail/CVE-2023-35036) - [Progress Software Advisory](https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-CVE-2023-35036-June-9-2023) - [CISA Advisory AA23-158A](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-158a) ## Notas Relacionadas **CVEs relacionados:** [[cve-2023-34362|CVE-2023-34362]] · [[cve-2023-35708|CVE-2023-35708]] · [[cve-2023-0669|CVE-2023-0669]] **Atores explorando:** [[cl0p|Cl0p]] · [[cl0p|TA505]] **Campanha:** [[MOVEit Transfer Mass Exploitation 2023]] **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190]] · [[t1005-data-from-local-system|T1005]] · [[t1505-003-web-shell|T1505.003]] · [[t1567-exfiltration-over-web-service|T1567]] · [[t1059-003-windows-command-shell|T1059.003]] **Setores em risco:** [[financial|financeiro]] · [[government|governo]] · [[healthcare|saúde]] · [[energy|energia]]