Angreifer, die es auf MFT-Tools abgesehen haben, sind auf dem Vormarsch
Es herrscht ein ständiger Kampf zwischen Bequemlichkeit und Sicherheit, und das Verschieben von Dateien über Netzwerke ist eine dieser Schlachten, die gerade jetzt ausgetragen wird.
Viele dieser Tools sind zwar so konzipiert, dass sie nur hinter einer Firewall zugänglich sind, werden aber oft falsch konfiguriert, so dass sie über das Internet zugänglich sind, was sie zu einem wertvollen Ziel für Angriffe macht.
Das Risiko wird noch dadurch verschärft, dass eine MFT-Anwendung leicht zu implementieren ist, ohne dass die für den Schutz sensibler Daten zuständigen Sicherheitsteams einen Überblick haben.
Kürzlich berichteten wir in unserem Blog über die aktuelle Zero-Day-Schwachstelle CVE-2023-34262 für MOVEit und wie die Ransomware-Gruppe Clop diese ausnutzte. Anfang dieses Jahres haben wir auch über CVE-2023-0669 für GoAnywhere MFT berichtet und darüber, dass Sie nur Zugriff auf die webbasierte Verwaltungskonsole benötigen, um den Exploit auszuführen. MOVEit und GoAnywhere sind jedoch wahrscheinlich nicht die einzigen MFT-Anwendungen, die angegriffen werden.
Möglichkeiten Censys Search können MFT-Anwendungen erkennen
Glücklicherweise ist es relativ einfach, die Fingerabdrücke dieser Anwendungen zu ermitteln, wenn sie dem Internet ausgesetzt sind. Ob wir nun nach Tags in einem Antwort-Header, einem gemeinsamen Port oder sogar einem Hash eines Favicons suchen, das im Login-Portal angezeigt wird, Censys kann diese Expositionen schnell identifizieren.
Die Kennzeichnung Censys Search für Managed-File-Transfer-Anwendungen wird automatisch auf Hosts für die meisten gängigen MFT-Anwendungen angewendet. Einige der Anwendungen, die wir erkennen, sind unten aufgeführt, aber nicht auf diese Liste beschränkt;
- MyWorkDrive
- Sharetru
- Axway SecureTransport
- Fortra GoAnywhere
- SmartFile
- JScape
- Global Enhanced File Transfer
- MOVEit
- IBM Aspera Faspex
Können Sie mir sagen, ob meine Organisation derzeit gefährdet ist?
Die oben verwendete Bezeichnung Censys Search hilft bei der Suche nach beliebigen Assets im Internet mit diesen Anwendungen. Sie können die Abfrage Censys weiter verfeinern, um nach Ihren Assets zu suchen. Es gibt jedoch einen viel einfacheren Weg.
Censys Exposure Management ist äußerst effektiv bei der Reduzierung des Umfangs unseres Datensatzes auf die Internet-Assets, die zu Ihrem Unternehmen gehören. Dies wird täglich durch unseren Zuordnungsprozess automatisiert und hilft Ihnen dann, Risiken zu priorisieren, die sich aus unbekannten Gefährdungen ergeben.
Durch unseren Erkennungsprozess können Sie täglich verfolgen, ob diese Anwendungen in Ihrem Unternehmen verwendet werden, und Sie werden gewarnt, wenn MFT-Anwendungen nach außen dringen. Darüber hinaus bietet Censys die nötige Transparenz, um bei einem Zero-Day-Exploit so schnell wie möglich zu reagieren, wenn eine dieser Anwendungen das nächste Mal kompromittiert wird.
