12小時盲點：當零日漏洞攻擊MFT時

發生了什麼

2025年春末，一個廣泛部署的託管文件傳輸（MFT）解決方案中出現的零日漏洞，在數百家組織中遭到積極利用。最初的攻擊向量利用未經身份驗證的SQL注入來實現遠端程式碼執行（RCE）。這使得威脅行為者能夠列舉敏感數據、外洩文件並建立持久後門。

攻擊最初是微妙的，表現為異常的網路請求和資料庫查詢，繞過了傳統的基於簽名的檢測。許多安全營運中心（SOC）報告稱，從日誌中出現第一個異常訊號到啟動正式事件回應流程之間存在顯著延遲，通常超過12小時。這種延遲被證明是關鍵的，讓攻擊者有充足的時間進行偵察和數據外洩。

受害者包括一家主要金融機構、幾家關鍵基礎設施供應商和一家財富500強零售集團。共同點是他們依賴這款特定的MFT產品與合作夥伴和客戶進行安全數據交換。此次事件突顯了人們對此類系統的固有信任，以及當這種信任被破壞時所帶來的連鎖影響。

為什麼這種模式會不斷重複

MFT零日漏洞並非孤立事件；它與MOVEit Transfer和Accellion FTA事件如出一轍。這些為安全數據處理而設計的產品，通常在邊緣運行，處理敏感信息並與外部實體互動。它們的普遍性使其成為有吸引力的目標，而其複雜的架構經常隱藏著根深蒂固的漏洞。

組織通常將MFT解決方案視為「設定後便可忘記」的基礎設施，未能像對自訂應用程式或面向公眾的網頁服務那樣，施加同等嚴格的安全審查。這種疏忽因依賴供應商提供的安全保證而加劇，而這些保證通常未考慮新型攻擊技術或零日情境。安全債務不斷累積，直到一個老練的攻擊者發現關鍵缺陷為止。

MFT的「瓶頸」性質也意味著單次入侵可以洩露不成比例的敏感數據量。這使得它們成為國家級行為者和老練的金融動機團體的高價值目標。發現、利用、修補和重複的循環持續進行，由數據外洩和知識產權盜竊的經濟誘因所驅動。

攻擊者的逐步策略

攻擊者會精心策劃並執行這些攻擊活動，通常分為幾個階段。初始階段涉及廣泛的偵察，識別使用易受攻擊的MFT產品的目標組織。這可能包括公共Shodan掃描、OSINT（開源情報）和供應鏈映射。

階段1：初始存取

利用零日漏洞，攻擊者首先建立未經身份驗證的立足點。在此次事件中，一個包含嵌入式SQL注入酬載的偽造HTTP請求利用了MFT產品網頁介面中的漏洞。這允許任意命令執行，繞過了身份驗證機制。

階段2：持久性與權限提升

獲得初始存取權後，攻擊者會立即專注於建立持久性。這通常涉及部署網頁殼層（例如 ASPX 或 JSP）、建立新使用者帳戶或修改現有服務配置。隨後通常會進行權限提升，利用系統配置錯誤或已知的本地漏洞來獲取底層伺服器的管理員權限。

階段3：內部偵察與資料外洩

獲得提升的權限後，攻擊者會列舉本地檔案系統、識別資料庫並映射網路共享。他們優先鎖定可能包含敏感資料的位置，例如客戶記錄、財務報告和智慧財產權。然後，資料會被壓縮、加密並外洩，通常使用合法的出埠埠（例如 443）以規避出站過濾。

「攻擊者確切知道這些MFT系統中的核心資產在哪裡。他們不只是探測；他們是在精準地提取。」

階段4：掩蓋蹤跡

最後，攻擊者會嘗試移除鑑識證據，清除日誌、刪除臨時文件並修改時間戳。然而，老練的攻擊者通常會留下微妙的跡象，賭注於目標的延遲檢測和回應能力。

防禦者錯過了什麼

在這場廣泛的MFT零日事件中，幾個關鍵的防禦層級失效或不足。最突出的失敗是許多SOC缺乏及時的訊號關聯和處理。雖然單個日誌條目可能顯示異常的資料庫查詢或不尋常的進程生成，但這些通常沒有立即升級。

傳統的端點偵測與回應（EDR）解決方案雖然存在，但面對新型攻擊模式時往往力不從心。最初的遠端程式碼執行（RCE）可能被記錄為異常進程執行，但若無上下文豐富或針對此零日漏洞的特定威脅情報來源，它通常被歸類為低嚴重性甚至無害的雜訊。同樣，網頁應用程式防火牆（WAF）由於漏洞的零日性質，往往被繞過，因為它不符合已知的簽名。

缺乏針對MFT系統進行調整的強大行為分析也是一個顯著的空白。許多組織缺乏MFT伺服器典型行為的基準線，這使得難以識別異常情況，例如對新IP地址的不尋常出站連接，或在敏感目錄中建立不熟悉的文件。這突顯了對關鍵基礎設施進行上下文感知監控的更廣泛問題。

實用的防禦檢查清單

• 隔離並區隔 MFT 系統： 針對 MFT 伺服器實施嚴格的網路區隔和微區隔。將入站和出站流量限制為僅必要的埠和來源/目的地 IP 範圍。將 MFT 視為高風險基礎設施。
• 加強 MFT 特定日誌記錄： 確保針對所有 MFT 活動啟用全面的日誌記錄，包括文件傳輸、使用者身份驗證、管理操作和系統級事件（進程建立、網路連接）。將這些日誌轉發到具有長期保留功能的集中式 SIEM。
• 實施行為異常檢測： 建立正常 MFT 伺服器行為的基準線（CPU、記憶體、磁碟 I/O、網路流量、進程活動）。針對異常情況（例如不尋常的出站連接、大量文件操作或意外的進程生成）開發特定的警報。
• 應用零信任原則： 針對 MFT 使用者和服務帳戶強制執行最小權限。針對所有管理介面實施多因素身份驗證 (MFA)，並在可能的情況下針對使用者存取實施。定期審查和審核 MFT 權限。
• 自動化修補程式管理和漏洞掃描： 為 MFT 解決方案建立加速修補程式週期。頻繁進行經過身份驗證的漏洞掃描和滲透測試，專門針對 MFT 產品及其底層基礎設施。
• 開發 MFT 特定事件回應劇本： 建立並定期測試針對 MFT 洩露情境量身定制的劇本，包括遏制、根除、數據外洩評估和通訊協定的步驟。

現代攻擊性測試如何能發現這個問題

先進的攻擊性安全測試，特別是紅隊或紫隊演練，很可能在威脅行為者之前，就發現了MFT零日漏洞的可利用性。這些活動超越了自動化漏洞掃描，模擬了老練攻擊者的TTP（戰術、技術和流程），包括鏈式漏洞利用和新型攻擊向量。

一支成熟的紅隊，專注於實現特定目標（例如，從MFT系統中竊取數據），將有條不紊地探測MFT應用程式的攻擊面。他們的方法將包括對網頁應用程式邏輯的深入分析、繞過WAF的自訂腳本，以及複雜的SQL注入測試，從而發現此次事件中被利用的RCE漏洞。此類測試迫使組織面對其真正的防禦態勢，在實際漏洞發生之前，識別出監控、警報和事件回應中的盲點。這種積極主動的方法確保當訊號越過關鍵閾值時，它會自動路由到正確的響應者，並附帶預先分配的劇本，從而大大縮短處理時間。

接下來要注意什麼

MFT零日模式預示著威脅行為者將持續關注供應鏈漏洞和面向邊界的應用程式。預計將會看到更多針對其他關鍵、卻常被忽視的企業軟體的複雜攻擊。這包括企業資源規劃（ERP）系統、客戶關係管理（CRM）平台以及其他處理敏感數據並與外部實體互動的業務關鍵型應用程式。

雲原生MFT解決方案和SaaS平台也將成為日益有吸引力的目標。雖然這些通常擁有共享責任模型，但配置錯誤和API漏洞仍可能導致嚴重的資料外洩。業界必須從被動修補轉向主動、持續驗證安全控制，認識到每個企業軟體都是潛在的攻擊面。

此外，人工智慧驅動攻擊工具的演進可能會加速此類零日漏洞的發現和利用。防禦者需要利用人工智慧進行異常檢測和威脅搜捕以跟上步伐。在這個領域，攻擊和防禦能力之間的競爭正在加劇，要求資訊安全長（CISO）和安全工程師保持警惕和適應能力。