Zellis-Datenpanne: BA- und BBC-Daten bei MOVEit-Angriffen entwendet

Mar 18, 2023

Aktualisiert am 6. Juni mit Details zur RCE-Schwachstelle selbst, bei der es sich nicht nur um eine SQL-Injection handelt. Der Angriffsvektor „bietet die Möglichkeit, Ransomware sofort zur Explosion zu bringen“, sagen Sicherheitsforscher von Huntress Labs.

Die BBC, British Airways und Boots haben allesamt Datenschutzverletzungen als Folge eines Angriffs auf Zellis, einen britischen Lohn- und Gehaltsabrechnungsdienstleister für Unternehmen, bestätigt.

Zellis ist Opfer der Ausnutzung einer (bisher unbekannten) Zero-Day-Schwachstelle in der Dateiübertragungssoftware „MOVEit Transfer“ für Unternehmen geworden.

BA bestätigte den Zusammenhang heute gegenüber Sky News und sagte: „... wir sind eines der Unternehmen, die von Zellis‘ Cybersicherheitsvorfall betroffen sind, der über einen ihrer Drittanbieter namens MOVEit aufgetreten ist.“

Eine URL-Scan-Abfrage für offengelegte MOVEit-Instanzen legt nahe, dass AON, Amex, American Fidelity, BAE Systems, Equiniti, EYm Hess, KPMG und Xilinx zu den Blue Chips gehören, bei denen MOVEit-Instanzen offengelegt wurden …

Die MOVEit-Schwachstelle CVE-2023-34362 wurde erstmals am 31. Mai vom Eigentümer Progress Software offengelegt. Die Angriffe scheinen bereits im Mai begonnen zu haben. Die Schwachstelle wurde schnell automatisiert ausgenutzt, wobei derselbe Webshell-Name in mehreren Kundenumgebungen gelöscht wurde.

Die Analyse der Schwachstelle in dieser Woche durch Huntress Labs ergab, dass die Anfangsphase des Angriffs, die SQL-Injection, die Tür für noch weitere Kompromittierungen öffnet – insbesondere die Ausführung willkürlichen Codes: „Das bedeutet, dass jeder nicht authentifizierte Angreifer einen Exploit auslösen könnte, der sofort ausgeführt wird.“ Ransomware oder führt eine andere böswillige Aktion aus. Schädlicher Code würde unter dem MOVEit-Dienstkontobenutzer moveitsvc ausgeführt, der sich in der lokalen Administratorengruppe befindet. Der Angreifer könnte den Virenschutz deaktivieren oder die Ausführung eines beliebigen anderen Codes erreichen.

Das von der Branche beobachtete Verhalten, nämlich das Hinzufügen einer human2.aspx-Webshell, ist für Angreifer nicht notwendig, um die MOVEit Transfer-Software zu gefährden. Es ist „eine Option“, die diese spezielle Bedrohung aus Gründen der Persistenz eingesetzt hat, aber der Angriffsvektor bietet die Möglichkeit, Ransomware sofort zur Explosion zu bringen. „Einige haben Angreifern bereits öffentlich gemeldet, dass sie auf andere Dateinamen umsteigen“, sagte Hungress.

Der Vorfall ist ein Paradebeispiel dafür, wie Angriffe auf die Software-Lieferkette nachgelagerte Prozesse nachwirken und eine positive Rückkopplungsschleife für Hacker erzeugen.

Microsoft führt die Angriffe auf eine Bedrohungsgruppe namens Lace Tempest zurück, die für Ransomware-Operationen bekannt ist und die Erpressungsseite Clop betreibt.

Charles Carmakal, CTO von Mandiant Consulting – Google Cloud, sagte: „In diesem Stadium ist es für Opferorganisationen von entscheidender Bedeutung, sich auf mögliche Erpressung, Veröffentlichung gestohlener Daten und Opferbeschämung vorzubereiten Nehmen Sie Kontakt mit Erpressungsforderungen auf und beginnen Sie mit der Durcharbeitung ihrer Opferliste. Untersuchungen von Mandiant zu früheren Kampagnen des mutmaßlichen Bedrohungsakteurs zeigen, dass die Erpressungsforderungen normalerweise im sieben- oder achtstelligen Bereich liegen, darunter einige Forderungen mit mehr als 35 Millionen US-Dollar.

Er fügte hinzu: „Jede Organisation, die die MOVEit-Webschnittstelle dem Internet zugänglich gemacht hat, sollte eine forensische Analyse des Systems durchführen, unabhängig davon, wann die Software gepatcht wurde. Es kann zu weiteren Wellen von Ausnutzung und Datendiebstahl kommen, also implementieren Sie den Patch oder Abhilfemaßnahmen.“ . Darüber hinaus können nachfolgende Wellen den Einsatz von Ransomware-Verschlüsselungsprogrammen umfassen. Achten Sie auch auf Betrüger. Einige unserer Kunden, die von der MOVEit-Ausnutzung betroffen waren, erhielten am Wochenende Erpressungs-E-Mails. Die Erpressungs-E-Mails hatten nichts mit der MOVEit-Ausnutzung zu tun und waren lediglich Betrug Organisationen könnten sie leicht als authentisch verwechseln.“

Der Dienst ist der neueste in einer Reihe von Dateiübertragungsdiensten für Unternehmen, die derzeit verfügbar sind. Accelion (CVE-2021-27101); Fortra GoAnywhere (CVE-2023-0669); SolarWinds Serv-U (CVE-2021-35211); IBM Aspera Faspex (CVE-2022-47986) wurden in den letzten 24 Monaten alle erfolgreich angegriffen.

(CISOs sollten sich möglicherweise eingehend damit befassen, wie sie die Sicherheit solcher Software von Drittanbietern gewährleisten, die Unternehmensdateien verarbeitet.)

Zellis sagte in seiner eigenen Erklärung: „Eine große Anzahl von Unternehmen auf der ganzen Welt sind von einer Zero-Day-Schwachstelle im MOVEit Transfer-Produkt von Progress Software betroffen … eine kleine Anzahl unserer Kunden ist von diesem globalen Problem betroffen, und wir sind es.“ aktiv daran arbeiten, sie zu unterstützen.

„Die gesamte Zellis-eigene Software bleibt davon unberührt und es gibt keine damit verbundenen Vorfälle oder Beeinträchtigungen anderer Teile unseres IT-Bestands.“

„Als wir auf diesen Vorfall aufmerksam wurden, haben wir sofort Maßnahmen ergriffen, den Server, auf dem die MOVEit-Software verwendet wird, abgeschaltet und ein externes Expertenteam für die Reaktion auf Sicherheitsvorfälle beauftragt, das uns bei der forensischen Analyse und der laufenden Überwachung unterstützt“, fügte das Unternehmen hinzu.

Kingsley Hayes, Head of Data and Privacy Litigation bei Keller Postman UK, bemerkte gegenüber The Stack in einem E-Mail-Kommentar: „Wenn es zu Datenhacks unter Beteiligung Dritter kommt – wie bei diesem jüngsten Datenverstoß – stellt sich immer die Frage, wer dafür verantwortlich ist.“ . Diese Frage ist schwer zu beantworten, insbesondere in diesem Fall, in dem es mehrere Fehlerquellen gibt. „Auch wenn MOVEit gehackt wurde, bleiben Arbeitgeber für die Sicherheit ihrer Mitarbeiterdaten verantwortlich. Nach dem Verstoß wird das ICO wahrscheinlich mehr über die Sicherheitsmaßnahmen der betroffenen Organisationen und ihre Beziehungen zu Zellis in Bezug auf den Datenschutz erfahren wollen.“

*Unter Sicherheitsforschern gibt es weiterhin Debatten über den Angriffspfad, wenn auch zweifellos nicht mehr lange. Progress selbst beschreibt es als ein SQL-Injection-Problem.