MOVEit Transfer - die stille Massenattacke

06.06.2023 19:00≈ 2 min

MOVEit Transfer ist eine Enterprise-Software für verwaltete Dateiübertragungen — eingesetzt von Banken, Behörden, Krankenkassen und Unternehmen weltweit. Im Mai/Juni 2023 nutzten Angreifer der Gruppe Cl0p eine SQL-Injection-Schwachstelle in der Web-Oberfläche aus.

Was folgte war einer der breitesten Datenverstöße der jüngeren Geschichte — nicht durch einen Angriff auf ein Unternehmen, sondern durch einen systematischen Angriff auf eine Infrastruktur-Software die überall lief.

Die Schwachstelle

CVE-2023-34362: SQL Injection in der MOVEit Transfer Web-Anwendung. Kein Login erforderlich, keine besondere Konfiguration. Ein präparierter HTTP-Request reichte für Datenbankzugriff und in der Folge Remote Code Execution.

-- Vereinfachtes Beispiel einer SQL-Injection (nicht MOVEit-spezifisch):
-- Anfrage: GET /guestaccess?folderid=1 UNION SELECT username,password FROM users--
-- Wenn die Eingabe nicht parametrisiert ist: Datenbankinhalt in der Antwort

Progress Software veröffentlichte einen Patch am 31. Mai 2023. Cl0p hatte die Schwachstelle nachweislich bereits in den Wochen davor aktiv ausgenutzt — die Patching-Window war negativ.

Cl0p: systematisch und geduldig

Cl0p ist eine russischsprachige Ransomware-Gruppe bekannt für "Big Game Hunting" — gezielt große Organisationen, hohe Lösegelder. Ihre Strategie bei MOVEit: so viele Systeme wie möglich in einem kurzen Zeitfenster kompromittieren, Daten exfiltrieren, dann Opfer erpressen.

Keine Verschlüsselung — nur Datendiebstahl und Erpressung. Einfacher zu operationalisieren, schwerer für Opfer zu detektieren (kein verschlüsselter Speicher als offensichtliches Symptom).

Betroffene

US-Bundesbehörden (Department of Energy, Oak Ridge National Laboratory), British Airways, BBC, Aon, Deutsche Bank, ING, Shell, Sony, und hunderte andere — schätzungsweise 2.600 Organisationen mit über 83 Millionen betroffenen Datensätzen.

Besonders betroffen: Payroll-Dienstleister Zellis (deren Kunden British Airways und BBC waren), und BORN Ontario — ein kanadisches Gesundheitssystem das Daten von ~3,4 Millionen Schwangeren und Neugeborenen verlor.

Warum Managed File Transfer ein Risiko ist

MFT-Systeme haben Zugriff auf sensible Daten nach Definition — sie transferieren sie. Sie haben Web-Oberflächen für externe Nutzung. Sie laufen on-premise mit Internetzugang. Sie werden selten gepatcht weil sie als "stabile, eingerichtete Infrastruktur" gelten.

Das ist dieselbe Angriffsfläche wie bei GoAnywhere (Cl0p, 2023), Accellion FTA (Cl0p, 2020) und anderen MFT-Produkten. Die Gruppe spezialisierte sich auf genau diesen Produkttyp.

Takeaway

Software die direkten Zugriff auf sensible Daten hat und im Internet erreichbar ist muss im höchsten Patch-Prioritätslevel sein. "Das läuft seit Jahren stabil" ist kein Sicherheitsargument.