# CVE-2023-35708 - MOVEit Transfer SQL Injection (Terceira Vulnerabilidade Crítica da Série) > [!high] CVSS 9.8 - Terceiro SQL injection crítico no MOVEit Transfer divulgado em junho de 2023. Parte da campanha massiva do grupo Cl0P que comprometeu mais de 600 organizações globalmente. Patch disponível; verificar também CVE-2023-34362 e CVE-2023-35036. ## Visão Geral O **CVE-2023-35708** é a terceira vulnerabilidade crítica de SQL injection identificada no MOVEit Transfer em junho de 2023, divulgada em 15 de junho - apenas duas semanas após a [[cve-2023-34362|CVE-2023-34362]] (a zero-day original explorada massivamente pelo [[cl0p|Cl0P]]) e seis dias após a [[cve-2023-35036|CVE-2023-35036]]. Como suas predecessoras, permite que qualquer atacante não autenticado submeta um payload SQL especialmente construído a um endpoint da aplicação web do [[moveit-transfer|MOVEit Transfer]], possibilitando modificação e divulgação do conteúdo do banco de dados. A campanha massiva do [[cl0p|Cl0P]] (também conhecido como TA505 e Lace Tempest) contra o MOVEit Transfer comprometeu mais de 600 organizações globalmente, gerando estimativas de impacto superiores a 100 milhões de dólares em custos de remediação e notificações. A sequência de três CVEs em quinze dias evidência um produto com problemas sistêmicos de segurança no componente de injeção SQL. O [[_progress-software|Progress Software]] disponibilizou patches para todas as versões afetadas; organizações que utilizam MOVEit Transfer devem verificar a aplicação de todos os patches da série de junho de 2023. ## Resumo CVE-2023-35708 é a **terceira vulnerabilidade crítica de SQL injection** identificada no MOVEit Transfer em junho de 2023, divulgada em 15 de junho - apenas duas semanas após a divulgação da [[cve-2023-34362|CVE-2023-34362]] (a zero-day original) e seis dias após a [[cve-2023-35036|CVE-2023-35036]]. Como suas predecessoras, permite que um atacante não autenticado submeta um payload SQL especialmente construído a um endpoint da aplicação web do MOVEit Transfer, possibilitando modificação e divulgação do conteúdo do banco de dados. A falha afeta todas as versões do produto antes dos patches liberados em junho de 2023. A campanha massiva do [[cl0p|Cl0P]] (TA505/Lace Tempest) contra o MOVEit Transfer comprometeu mais de 600 organizações globalmente, tornando-se uma das maiores operações de extorsão de dados de 2023. ## Detalhes Técnicos - **Tipo:** SQL Injection - **Vetor:** Network - **Complexidade:** Low - **Pré-autenticação:** Sim - **Versões afetadas:** MOVEit Transfer antes de 2021.0.8 (13.0.8), 2021.1.6 (13.1.6), 2022.0.6 (14.0.6), 2022.1.7 (14.1.7), 2023.0.3 (15.0.3); também afeta versão 2020.1.x (fix: 2020.1.10 / 12.1.10) - **Versão corrigida:** 2021.0.8, 2021.1.6, 2022.0.6, 2022.1.7, 2023.0.3 (patch de 15/06/2023) - **CWE:** CWE-89 (Improper Neutralization of Special Elements used in an SQL Command) ### Funcionamento Técnico Assim como a CVE-2023-34362 original, esta vulnerabilidade reside no componente `moveitisapi/moveitisapi.dll` da aplicação web MOVEit Transfer. Um atacante envia um payload SQL especialmente construído para um endpoint da aplicação, podendo inferir a estrutura do banco de dados, executar statements SQL que modificam ou deletam elementos, e potencialmente escalar privilégios para instalar webshells de controle remoto. O acesso ao banco de dados permite também recuperar configurações Azure, credenciais, metadados de arquivos e criar/deletar contas de usuário. ## Exploração A Progress Software não confirmou exploração ativa específica da CVE-2023-35708 antes da sua divulgação (diferente da CVE-2023-34362, que foi explorada como zero-day). No entanto, dado que a CVE-2023-35708 foi identificada como parte da mesma classe de vulnerabilidades e divulgada em resposta à investigação em andamento, organizações que não aplicaram o patch estavam expostas ao mesmo tipo de ataque. O [[cl0p|Cl0P]] já havia comprometido mais de 600 organizações usando a CVE-2023-34362 no período de 27 de maio a início de junho de 2023. A campanha gerou estimativas de impacto de mais de 100 milhões de dólares em custos de remediação e notificações. O Sophos IPS detectou tentativas de exploração de CVE-2023-36934 (divulgada em julho) que seguiam padrões similares. A campanha completa está documentada em [[moveit-transfer-campaign|MOVEit Transfer Campaign]]. ## Mitigação 1. Aplicar imediatamente o patch de 15 de junho de 2023 para a versão apropriada do MOVEit Transfer 2. Desabilitar o tráfego HTTP e HTTPS para o ambiente MOVEit Transfer até que o patch seja aplicado (modificar regras de firewall para bloquear portas 80 e 443) 3. Verificar presença do webshell `human2.asp` em `c:\MOVEit Transfer\wwwroot\` 4. Monitorar logs de acesso IIS em busca de arquivo `App_Web_<Random8chars>.dll` gerado pelo compilador `csc.exe` 5. Verificar criação de contas admin com nome "Health Check Service" ## Referências - [NVD - CVE-2023-35708](https://nvd.nist.gov/vuln/detail/CVE-2023-35708) - [Progress Software Security Advisory](https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-15June2023) - [Rapid7 - MOVEit Transfer vulnerabilidades](https://www.rapid7.com/blog/post/2023/06/01/rapid7-observed-exploitation-of-critical-moveit-transfer-vulnerability/) - [FBI/CISA Joint Advisory AA23-158A - Cl0P MOVEit](https://www.ic3.gov/CSA/2023/230607.pdf) - [Unit 42 - MOVEit Threat Brief](https://unit42.paloaltonetworks.com/threat-brief-moveit-CVE-2023-34362/) > [!latam] Diversas organizações brasileiras dos setores financeiro, governo e saúde utilizam o MOVEit Transfer para transferência segura de arquivos. A campanha Cl0P teve vítimas confirmadas no Brasil e na América Latina. Organizações que não aplicaram os patches de junho de 2023 ainda podem estar expostas e devem auditar logs de acesso em busca de sinais de comprometimento retroativo. ## Mitigações Recomendadas - [[m1051-update-software|M1051 - Update Software]] - Aplicar todos os patches MOVEit Transfer de junho de 2023 (CVE-2023-34362, 35036, 35708) - [[m1030-network-segmentation|M1030 - Network Segmentation]] - Isolar o MOVEit Transfer em DMZ com acesso restrito - [[m1031-network-intrusion-prevention|M1031 - Network Intrusion Prevention]] - Monitorar requisições com payloads SQL nos endpoints da aplicação - [[m1016-vulnerability-scanning|M1016 - Vulnerability Scanning]] - Executar scan periódico para verificar exposição a CVEs conhecidos ## Notas Relacionadas CVE-2023-35708 é a terceira de uma série de vulnerabilidades SQL injection no MOVEit Transfer divulgadas em 2023: [[cve-2023-34362|CVE-2023-34362]] (zero-day, 31/05/2023), [[cve-2023-35036|CVE-2023-35036]] (09/06/2023) e CVE-2023-35708 (15/06/2023). Em julho de 2023 foram divulgadas mais três CVEs (36934, 36932, 36933). O [[cl0p|Cl0P]] é responsável pela campanha [[moveit-transfer-campaign|MOVEit Transfer Campaign]], sendo o mesmo grupo por trás das campanhas [[accellion-fta-exploitation|Accellion FTA]] e [[cve-2024-50623|Cleo]]. O [[g0046-fin7|FIN7]] também mantém vínculos históricos com o ecossistema TA505. Para contexto de ameaça, ver também [[cve-2023-0669|CVE-2023-0669]] (GoAnywhere MFT, também atribuída ao Cl0P).