En los últimos días de mayo de 2023, los clientes de la plataforma de transferencia de archivos MOVEit de Progress Software comenzaron a experimentar compromisos, y estos compromisos comenzaron a ser noticia a lo grande. Los atacantes exfiltraron cantidades significativas de datos y luego extorsionaron a las víctimas con respecto a la divulgación pública de sus datos. Se han puesto a disposición parches para vulnerabilidades conocidas, sin embargo, este evento de compromiso está lejos de terminar.

Los ataques de MOVEit se han aprovechado de al menos una vulnerabilidad de día cero previamente desconocida, lo que significa que incluso si los clientes estaban atentos a la aplicación de parches, seguían siendo vulnerables, y muy posiblemente comprometidos, durante el tiempo entre el descubrimiento de la vulnerabilidad y el momento en que se lanzaron y aplicaron los parches. . Se han descubierto vulnerabilidades adicionales y Progress soluciona problemas.

Estos ataques se han atribuido a Cl0p, un grupo de ciberdelincuencia de habla rusa que tiene un largo historial de extorsión de ransomware. Al momento de escribir este artículo, un alto funcionario de la CISA de EE. UU. ha declarado que no cree que estos ataques estén siendo coordinados por el gobierno ruso, a pesar de que varias agencias gubernamentales en varios países han sido víctimas.

¿Por qué MOVEit?

MOVEit no es la primera plataforma de transferencia de archivos que se explota. Bleeping Computer señala que ha habido "ataques similares en el pasado utilizando vulnerabilidades de día cero en Accellion FTA, GoAnywhere MFT y SolarWinds Serv-U". Si bien no podemos conocer con certeza las motivaciones de los actores de amenazas, las aplicaciones de transferencia de archivos tienen sentido como objetivos por varias razones.

Las aplicaciones de transferencia de archivos tienden a ser desarrolladas por proveedores más pequeños, y existe una percepción persistente de que los proveedores más pequeños son menos capaces en lo que respecta a la seguridad de las aplicaciones. Las aplicaciones de transferencia de archivos también tienden a ser implementadas por organizaciones en lugar de individuos, lo que aumenta la probabilidad de que las víctimas tengan los recursos para pagar. Finalmente, y quizás lo más importante, estas aplicaciones contienen datos. muchos datos

Todo esto significa que las aplicaciones de transferencia de archivos son un objetivo atractivo, y casi con seguridad volverán a serlo.

Entonces, ¿qué se puede hacer acerca de esto? La transferencia de archivos es necesaria, pero ¿cómo puede proteger mejor los datos que se enrutan a través de estas plataformas?

Protegiéndose contra lo desconocido

Comencemos discutiendo las defensas con algunos consejos genéricos sobre "cómo protegerse contra los días cero".

• Lo más importante que cualquiera puede hacer para proteger sus aplicaciones es parchearlas. Si bien los parches no lo protegerán contra ataques de día cero, reducen su superficie de ataque al corregir vulnerabilidades conocidas.

• Si no sabe qué aplicaciones pueden ser vulnerables, los escáneres de vulnerabilidades son un buen lugar para comenzar. Explorarán su red para identificar las aplicaciones y sus versiones, y luego le notificarán si esas aplicaciones están atrasadas en sus parches.

• La exposición de una aplicación a Internet es en sí misma un gran riesgo. Siempre que sea posible, utilice firewalls de aplicaciones web (WAF). Los WAF se ubican entre una aplicación e Internet, inspeccionando el tráfico en busca de cualquier inconveniente. Sin embargo, los WAF solo conocen un número limitado de aplicaciones y es posible que no obtengan actualizaciones sobre las nuevas técnicas de los atacantes más rápido que los parches que los proveedores pueden poner a disposición para sus aplicaciones vulnerables.

• En general, si no tiene que exponer una aplicación a Internet, no lo haga. Siempre que sea posible, solicite una VPN para acceder a los servicios. Si las VPN no son una solución viable, considere un firewall configurado para denegar todo acceso a su aplicación, excepto el acceso desde direcciones IP específicas. Cuanto más estrictamente pueda controlar el acceso a su aplicación, es menos probable que se vea comprometida.

• Los servidores en los que se ejecutan las aplicaciones deben tener defensas de detección y respuesta de puntos finales (EDR) instaladas y operativas. Si un dispositivo no puede tener EDR instalado, digamos porque es una impresora o una bombilla inteligente, entonces esos dispositivos deben conectarse a redes separadas y aisladas. Trate cualquier cosa que no pueda tener EDR instalado como si ya estuviera comprometida y manténgala alejada de cualquier cosa en su red que pueda albergar archivos confidenciales u otros datos.

• El análisis de registros regular ofrece la posibilidad de detectar ataques que los enfoques anteriores pasan por alto; sin embargo, esto requiere una gran familiaridad con la aplicación en cuestión.

• Por último, tenga preparado un plan de respuesta a incidentes para cuando ocurran eventos de compromiso. Sepa cómo bloquear su red para evitar la propagación de compromisos, cómo capturar datos para análisis forense y tener relaciones preexistentes con expertos en seguridad de terceros que pueden ayudarlo a revisar esos datos en caso de que sea necesario.

Si bien todos estos consejos son algo genéricos (cómo proteger todo contra cada posible ataque desconocido es un tema bastante amplio), los consejos sobre cómo defender específicamente las aplicaciones de transferencia de archivos son algo con lo que podemos ser más granulares.

Defendiendo sus plataformas de transferencia de archivos

Las aplicaciones de transferencia de archivos generalmente vienen con la capacidad de restringir el acceso según las credenciales del usuario. Es importante tener credenciales individuales para cada usuario y restringir el acceso de cada usuario tanto como sea posible solo a lo que debe tener acceso. Si bien esto no lo protegerá directamente de los ataques de día cero, puede ayudar a detectar cuándo se producen algunos tipos de ataques. Entonces, veamos algunas categorías amplias de ataques de día cero que podría ver con una aplicación de transferencia de archivos.

• El primero es una vulnerabilidad que permite a un usuario acceder a los datos de otro usuario. Dependiendo de los detalles específicos de la vulnerabilidad, tener restricciones de archivos y carpetas en el nivel del servidor de archivos subyacente (además de las proporcionadas por la aplicación de transferencia de archivos) puede ayudar aquí. El análisis de archivos de registro automatizado que rastrea qué direcciones IP acceden regularmente a qué credenciales de usuario también puede ayudar aquí, ya que puede ayudar a observar si las cuentas de usuario están siendo iniciadas por direcciones IP que normalmente no están asociadas con esa cuenta, o que normalmente están asociadas con un cuenta diferente.

• Otro tipo de vulnerabilidad es aquella que permite a un atacante acceder a los datos de cualquier usuario sin tener que comprometer primero los datos de un usuario. Aquí, el análisis de archivos de registro que puede buscar niveles anormales de actividad, o el uso de comandos poco comunes, es extremadamente útil. La implementación de uno o más servidores honeypot también puede ayudar aquí. Configure un servidor que parezca real: tiene varias cuentas de usuario (falsas) y hay datos (simulados) en cada cuenta. Pegue un analizador de archivos de registro en él y si el analizador de archivos de registro ve algo más que intentos de inicio de sesión (inicios de sesión exitosos, transferencias de archivos, etc.), entonces sabrá que algo está pasando y que es hora de realmente comenzar a prestar mucha atención a su servidor real y en vivo ( s).

• El último tipo importante de vulnerabilidad de día cero que probablemente encuentre en una aplicación de transferencia de archivos, y la que permitió los ataques de MOVEit, es la ejecución de código arbitrario. Esto significa que un atacante puede superar cualquier defensa que exista en la aplicación y luego hacer que el sistema operativo que aloja la aplicación de transferencia de archivos ejecute una carga útil. En el caso de MOVEit, se explotó una vulnerabilidad de inyección SQL que resultó en la detonación de una carga útil de ransomware. Luego, el ransomware hizo el trabajo de exfiltrar los datos, en lugar de que esos datos fueran exfiltrados a través del propio software MOVEit. Este tipo de vulnerabilidad de día cero puede afectar a cualquier aplicación, transferencia de archivos u otros. Y como con la mayoría de los consejos genéricos de mitigación de día cero, "evitar que todo toque cualquier otra cosa" es el mejor consejo.

Sus defensas comienzan restringiendo los privilegios bajo los cuales se ejecuta la aplicación de transferencia de archivos. Si es posible, no ejecute esa aplicación con privilegios de nivel de administrador. Si puede bloquearlo en su propio contenedor o máquina virtual, hágalo. Si puede estar en una red completamente aislada, mejor aún. Bajo ninguna circunstancia su aplicación de transferencia de archivos debe tener acceso ni siquiera a un archivo que no sea absolutamente necesario para realizar su trabajo.

Aquí, saber algo acerca de cómo sus clientes utilizan realmente su aplicación de transferencia de archivos puede ayudar. Considere el caso de uso en el que su aplicación de transferencia de archivos se usa exclusivamente para que los clientes le carguen archivos. En este caso, tenga un script que se ejecute en segundo plano y busque cuando los archivos terminen de cargarse. Tan pronto como terminen, mueva ese archivo fuera del servidor de transferencia de archivos y a una ubicación de almacenamiento a la que el servidor de transferencia de archivos no pueda acceder. De esa manera, si la aplicación de transferencia de archivos alguna vez se ve comprometida por un día cero que permite la ejecución de código arbitrario, ese código no puede acceder a ningún dato.

Si necesita hacer que los datos estén disponibles para sus usuarios a través de la aplicación de transferencia de archivos, considere si al menos puede hacer que sean de solo lectura para cualquier credencial que pueda ser utilizada por una aplicación maliciosa que se ejecuta en el servidor de transferencia de archivos. De esta manera, al menos ha reducido el alcance potencial del problema a "los atacantes pueden haber visto datos" y no se trata de "los atacantes pueden haber modificado o eliminado datos".

Pensamientos de despedida

La defensa de las aplicaciones de transferencia de archivos de las vulnerabilidades de día cero realmente se reduce al principio de privilegio mínimo. Asegúrese de que todo lo conectado a su red solo pueda hablar con lo que sea absolutamente necesario y que todo lo posible tenga EDR instalado. Si absolutamente debe proporcionar algún nivel de acceso privilegiado persistente, entonces, si es posible, solicite a sus usuarios que usen una VPN para acceder a sus servicios de transferencia de archivos.

Cualquier dato que esté expuesto a Internet, incluso si está protegido por una aplicación, corre el riesgo de llegar a Internet. Cuantas más defensas tenga, más tiempo podrá mantener seguros esos datos. El análisis de archivos de registro y los escáneres de vulnerabilidades pueden ayudarlo a saber cuándo los datos ya no están seguros. Pero nada es mejor que poner a disposición la menor cantidad de datos posible durante un período de tiempo tan corto como sea absolutamente necesario en términos de reducir su riesgo.