Zum Inhalt springen
Neuer Bericht: Holen Sie sich Ihr Exemplar des State of the Internet Report 2024! | Heute herunterladen
Blogs

MOVEit: eine Branchenanalyse

Teilen Sie

13. Juni 2023
Tags:
  • 30,86 % der Hosts, die MOVEit betreiben, sind in der Finanzdienstleistungsbranche tätig, 15,96 % im Gesundheitswesen, 8,82 % in der Informationstechnologie und 7,56 % im Bereich Regierung und Militär.
  • 29 % der von uns beobachteten Unternehmen haben mehr als 10.000 Mitarbeiter, was darauf hindeutet, dass dieser Dienst in einer Vielzahl von großen Organisationen genutzt wird.
  • Unternehmen mit Sitz in den Vereinigten Staaten stellen mit 69 % die überwiegende Mehrheit der MOVEit-Hosts.

 

Hinweis: Da Censys ein Internet-Scanner ist, können wir nicht feststellen, ob diese Geräte verwundbar sind; dies sind die MOVEit-Dienste, die wir im Internet gefunden haben.

Einführung

In letzter Zeit haben Managed-File-Transfer-Dienste (MFT) im Bereich der Sicherheit erhebliche Aufmerksamkeit erlangt. Auch wenn MFT vielleicht kein regelmäßiges Diskussionsthema ist, ist es doch erwähnenswert, dass die beiden letzten bedeutenden Schwachstellen, über die wir berichtet haben, auf Systeme und Software abzielten, die ausdrücklich zur Erleichterung des MFT-Betriebs entwickelt wurden. Im Jahr 2021 meldete Businesswire ein prognostiziertes Wachstum der MFT-Branche, die bis 2027 ein Volumen von 2,4 Milliarden US-Dollar erreichen soll, wobei allein in diesem Jahr mit einem jährlichen Umsatz von 398 Millionen US-Dollar gerechnet wird. Dieser aufstrebende Sektor offenbart nun seine Auswirkungen auf die Sicherheit.

MFT stellt eine Weiterentwicklung des FTP-Protokolls dar und ermöglicht es Unternehmen, Dateien zwischen bestimmten Standorten sicher zu übertragen. Neben dieser einfachen Funktion bieten viele dieser Dienste fortschrittliche Sicherheits- und Verschlüsselungsfunktionen und entsprechen gesetzlichen und Compliance-Standards wie HIPAA und PCI DSS, was sie zu einem sehr wertvollen Ziel für Angreifer macht.

Rapid7 hat kürzlich eine sehr detaillierte und aufschlussreiche Analyse der jüngsten MOVEit MFT-Schwachstelle veröffentlicht, einschließlich einer funktionierenden Exploit-Kette, die auf Attackerkb zu sehen ist. Diese Analyse ergab, dass die Schwachstelle komplexer ist als ursprünglich angenommen. Um sie auszunutzen, müssen SQL-Injection und einige Request Smuggling-Techniken eingesetzt werden, die in diesem Link näher erläutert werden.

Während die Sicherheitsingenieure sich bemühten, die spezielle Schwachstelle zu verstehen, konzentrierten wir uns darauf, die Branchen zu identifizieren, die von dieser Schwachstelle betroffen sein könnten.

Bei unserer Analyse haben wir über 1.400 MOVEit-Server untersucht, die im Internet offen zugänglich sind. Anhand verschiedener Datenpunkte, die von den Hosts und den Netzwerken, die diese Hosts betreiben, bereitgestellt wurden, konnten wir sie mit bestimmten Unternehmen oder Organisationen in Verbindung bringen. Wir werden hier nicht auf bestimmte Unternehmen eingehen, sondern auf die Branchen, in denen diese Unternehmen tätig sind.

Während die Anzahl dieser speziellen Hosts angesichts der enormen Ausmaße des Internets bescheiden erscheinen mag, liegt der beunruhigende Aspekt in der Größe der betroffenen Unternehmen und den hochsensiblen Daten, die sie verwalten.

Analyse

Branchen mit MOVEit Hosts

Nach unserer Analyse gehörten 30,86 % der untersuchten Hosts zu Finanzdienstleistungsunternehmen, 15,96 % zum Gesundheitswesen, 8,92 % zu Informationstechnologieunternehmen und 7,5 % zu Regierungs- und Militäreinrichtungen. Außerdem kamen 4,41 % der Gastgeber aus dem Energiesektor und 4,06 % aus dem verarbeitenden Gewerbe. Das obige Diagramm zeigt die zehn wichtigsten Sektoren, in denen diese MOVEit-Software ausgeführt wurde.

MOVEit-Hosts in der Finanzdienstleistungsbranche, aufgeschlüsselt nach Ländern.

Im Finanzsektor hatte die überwiegende Mehrheit dieser Unternehmen (72 %) ihren Sitz in den Vereinigten Staaten, während ein kleinerer Prozentsatz (5,9 %) im Vereinigten Königreich ansässig war. Diese Unternehmen können als mittelgroß bis groß eingestuft werden, wobei knapp 25 % der Unternehmen 1.000 bis 5.000 Beschäftigte haben und etwa 22 % mehr als 10.000 Beschäftigte melden.

Fortra, ein Unternehmen, das ebenfalls mit Sicherheitsbedenken konfrontiert ist, hat einige spezifische Möglichkeiten aufgezeigt, wie die Finanzbranche MFT-Dienste nutzt. MFT ist ein wertvolles Instrument für die Automatisierung verschiedener Aufgaben, vor allem für die sichere Übertragung sensibler Finanzdaten. Diese Daten umfassen wichtige Finanzinformationen wie Kreditkartendetails, Altersvorsorgepläne und Steueranträge, die mit externen Datenanbietern wie anderen Kreditbüros und dem berüchtigten Equifax ausgetauscht werden.

MOVEit-Hosts in der Gesundheitsbranche, aufgeschlüsselt nach Ländern

Die Verwendung von MOVEit in der Gesundheitsbranche ist von großer Bedeutung, da Gesundheitsorganisationen es häufig zur Übertragung sensibler elektronisch geschützter Gesundheitsinformationen (ePHI) und elektronischer Gesundheitsdaten (EHR) zwischen Krankenhäusern, Apotheken und Versicherungsgesellschaften einsetzen. Das bedeutet, dass es sich bei den Daten auf diesen Servern nicht nur um firmeneigene Daten handelt, sondern auch um personenbezogene Daten (PII).

Diese Nutzung macht mit 15,96 % der MOVEit-Hosts einen erheblichen Teil der MOVEit-Aktivität aus. Von diesen Einrichtungen des Gesundheitswesens sind etwa 79 % in den Vereinigten Staaten ansässig, während etwa 7,02 % in Frankreich gehostet werden. Im Gegensatz zum Finanzsektor handelt es sich bei den meisten dieser Gesundheitsunternehmen um Großunternehmen, die mehr als 10.000 Personen beschäftigen und damit 29,91 % der Gesamtheit ausmachen.

Umgekehrt macht der Informationstechnologiesektor mit nur 8,92 % einen kleineren Teil der MOVEit-Hosts aus. Innerhalb dieses Sektors machen kleine bis mittlere Unternehmen mit 11-50 Beschäftigten 29,3 % der MOVEit-Hosts aus, was darauf hindeutet, dass diese Branche nicht die Hauptnutzerbasis für diesen Dienst ist.

Auch Regierungs- und Militäreinrichtungen verwenden MOVEit, die etwa 7,56 % der gesamten MOVEit-Benutzer ausmachen. Diese Organisationen befinden sich hauptsächlich in den USA (83,33 %), gefolgt von Großbritannien mit 6,48 % und Kanada mit 3,7 %. Mehrere dieser Organisationen, darunter die Regierung von Nova Scotia, Kanada, das Illinois Department of Innovation & Technology und das Minnesota Department of Education, haben sich öffentlich als Opfer von MOVEit-Übertragungsverletzungen zu erkennen gegeben. Dies ist besonders besorgniserregend, da die Kompromittierung von Verschlusssachen und zivilen Daten in staatlichen und militärischen MFT-Instanzen die nationale Sicherheit und das Leben der betroffenen Personen gefährden kann.

Schlussfolgerung

Wenn wir daraus etwas lernen können, dann dass Datensicherheit nicht dasselbe ist wie Anwendungssicherheit. Auch wenn die verwendeten Systeme den neuesten Vorschriften entsprechen, muss die Software dennoch so geschrieben (und geprüft) werden, dass die Sicherheit der Daten gewährleistet ist. Es ist zwar verständlich, dass nicht jedes Softwarepaket unter dem Mikroskop betrachtet werden kann, aber jede Software, die wir verwenden und die einen direkten Zugang zum Internet erfordert, sollte von allen Beteiligten vor ihrer Einführung genau geprüft werden.

In den letzten Wochen wurden mehrere Unternehmen Opfer von Datendiebstahl durch die Ausnutzung dieser Zero-Day-Lücke, und angesichts des derzeitigen Ausmaßes der Gefährdung wird die Zahl der betroffenen Unternehmen wahrscheinlich weiter steigen.

Mit dem Wachstum von Unternehmen und der Erweiterung ihrer Netzwerke wird die Verwaltung und Identifizierung jedes einzelnen Dienstes, der über das öffentliche Internet zugänglich ist, für IT-Abteilungen immer schwieriger. Ohne angemessene Richtlinien und Überwachung können Unternehmen von dieser Art von Sicherheitslücken überrascht werden. Für Unternehmen ist es von größter Bedeutung, ein umfassendes Verständnis der Anwendungen und Dienste zu haben, die in ihren Netzwerken betrieben werden, und die potenziellen Folgen einer Kompromittierung dieser Dienste vollständig zu erfassen.

Sicherheitslücken wie diese stellen ein erhebliches Risiko für die Privatsphäre der normalen Bürger dar, nicht nur für Unternehmen. Diese Systeme wurden entwickelt, um die Einhaltung von Vorschriften für große Unternehmen zu unterstützen, haben aber versagt, wenn es um den Schutz ihrer eigenen Sicherheit geht.

Zurück zu Ressourcen Hub
Lösungen für das Management von Angriffsflächen
Mehr erfahren