MOVEit Mayhem 3: “Disable HTTP And HTTPS Traffic Immediately”

أعاد نشره أفلاطون

المتابعون: 0

بعد المزيد من الفوضى MOVEit!

"تعطيل حركة مرور HTTP و HTTPS إلى MOVEit Transfer" يقول Progress Software ، والإطار الزمني للقيام بذلك هو "في الحال"، لا ، لا تحفظات.

تقدم برمجيات الشركة المصنعة لبرامج مشاركة الملفات نقل MOVEit، والمُستضاف سحابة موفيت البديل الذي يعتمد عليه ، وهذا هو تحذيرها الثالث في غضون ثلاثة أسابيع حول نقاط الضعف القابلة للاختراق في منتجها.

في نهاية مايو 2023 ، تم اكتشاف أن مجرمي الابتزاز الإلكتروني المرتبطين بعصابة Clop ransomware يستخدمون ثغرة يوم الصفر لاقتحام الخوادم التي تشغل الواجهة الأمامية لمنتج MOVEit.

من خلال إرسال أوامر قاعدة بيانات SQL مشوهة بشكل متعمد إلى خادم MOVEit Transfer عبر بوابة الويب الخاصة به ، يمكن للمجرمين الوصول إلى جداول قاعدة البيانات دون الحاجة إلى كلمة مرور ، وزرع البرامج الضارة التي سمحت لهم بالعودة إلى الخوادم المخترقة لاحقًا ، حتى إذا تم تصحيحها في في هذه الأثناء.

من الواضح أن المهاجمين كانوا يسرقون بيانات شركة الكأس ، مثل تفاصيل رواتب الموظفين ، ويطالبون بمدفوعات الابتزاز في مقابل "حذف" البيانات المسروقة.

We شرح كيفية التصحيح ، وما الذي يمكنك البحث عنه في حالة قيام المحتالين بزيارتك بالفعل ، مرة أخرى في بداية يونيو 2023:

.s-button + .s-button {margin-left: .3125rem؛ } .s-button {الانتقال: الكل 15 ثانية خطي ؛ حجم الخط: .875rem ؛ ارتفاع الخط: 1.5 ؛ اللون: # f2f2f2 ؛ عائلة الخطوط: SophosSansMedium و Helvetica Neue و Helvetica و Arial و sans-serif ؛ وزن الخط: 400 ؛ نمط الخط: عادي ؛ عرض: مضمنة كتلة ؛ الحشو: .3125rem 1.25rem ؛ المؤشر: المؤشر. محاذاة النص: مركز ؛ زخرفة النص: لا شيء ؛ الحد: 1 بكسل صلب # 005bc8 ؛ نصف قطر الحدود: 3 بكسل ؛ لون الخلفية: # 005bc8 ؛ ظل النص: لا شيء ؛ } .s-button: تحوم {text-decoration: none؛ اللون: #fff ؛ لون الحدود: # 002d62 ؛ لون الخلفية: # 002d62 ؛ } .s-button – white، .s-button – white: تحوم {color: # 005bc8! important؛ لون الحدود: #fff ؛ لون الخلفية: #fff ؛ } .s-ad-sophos-mdr {font-size: 1rem؛ ارتفاع الخط: 1.5 ؛ اللون: # 242629 ؛ عائلة الخطوط: SophosSansRegular و Helvetica Neue و Helvetica و Arial و sans-serif ؛ وزن الخط: 400 ؛ نمط الخط: عادي ؛ الموقف: نسبي ؛ أقصى عرض: 769 بكسل ؛ الهامش: 15 بكسل تلقائي ؛ الحشو: 30 بكسل 30 بكسل 25 بكسل ؛ الانتقال: مربع الظل .25 ثانية مكعب بيزير (.645 ، .045 ، .355 ، 1) ؛ محاذاة النص: مركز ؛ لون الخلفية: # 0d141d ؛ تكرار الخلفية: لا تكرار ؛ موضع الخلفية: 50٪ ؛ حجم الخلفية: غطاء ؛ ظل الصندوق: 0 0 0 0 0 شفاف ؛ لون الخلفية: # 005bc8 ؛ صورة الخلفية: لا شيء ؛ موضع الخلفية: 0 0 ؛ } .s-ad-sophos-mdr__title {font-size: 2rem؛ ارتفاع الخط: 1.125 ؛ الهامش السفلي: 4 بكسل ؛ اللون: #fff ؛ } .s-ad-sophos-mdr__text {font-family: SophosSansLight، Helvetica Neue، Helvetica، Arial، sans-serif؛ وزن الخط: 400 ؛ نمط الخط: عادي ؛ حجم الخط: 17 بكسل ؛ اللون: #fff ؛ } .s-ad-sophos-mdr__action {margin-top: 15px؛ } .s-ad-sophos-mdr__action .s-button {color: #fff؛ } .s-ad-sophos-mdr__link-wrapper {text-decoration: none؛ } .s-ad-sophos-mdr__link-wrapper: hover .s-ad-sophos-mdr {box-shadow: 0 5px 10px 0 rgba (0، 0، 0، .15)؛ } .s-ad-sophos-mdr__sophos-logo {الموقف: مطلق؛ أعلى: 15 بكسل ؛ اليمين: 15 بكسل ؛ } .s-ad-sophos-mdr__sophos-logo-svg {display: inline-block؛ العرض: 64 بكسل ؛ الارتفاع: 11 بكسل ؛ محاذاة عمودية: أعلى ؛ تكرار الخلفية: لا تكرار ؛ حجم الخلفية: 64 بكسل 11 بكسل ؛ } .s-ad-sophos-mdr__title {font-family: SophosSansSemibold، Helvetica Neue، Helvetica، Arial، sans-serif؛ وزن الخط: 400 ؛ نمط الخط: عادي ؛ حجم الخط: 28 بكسل ؛ وزن الخط: 700 ؛ ارتفاع الخط: 1 ؛ الهامش السفلي: 10 بكسل ؛ محاذاة النص: يسار ؛ } .s-ad-sophos-mdr__title svg {max-width: 100٪؛ } .s-ad-sophos-mdr__text {font-size: 16px؛ ارتفاع الخط: 1.25 ؛ محاذاة النص: يسار ؛ } .s-ad-sophos-mdr__action {text-align: right؛ } .s-ad-sophos-mdr .s-button {border-radius: 20px؛ }media (min-width: 769px) {.s-ad-sophos-mdr__text {margin-right: 140px؛ } .s-ad-sophos-mdr__action {الموقف: مطلق؛ اليمين: 30 بكسل ؛ أسفل: 30 بكسل ؛ }}media (max-width: 768px) {.s-ad-sophos-mdr {padding-top: 50px؛ } .s-ad-sophos-mdr__title {font-size: 1.625rem؛ } .s-ad-sophos-mdr__text {font-size: 16px؛ } .s-ad-sophos-mdr {padding-top: 30px؛ }}

التحذير الثاني

أعقب هذا التحذير ، الأسبوع الماضي ، تحديث من Progress Software.

أثناء التحقيق في فجوة يوم الصفر التي قاموا بتصحيحها للتو ، كشف مطورو Progress عن عيوب برمجة مماثلة في مكان آخر في الكود.

لذلك قامت الشركة بنشر ملف مزيد من التصحيح، يحث العملاء على تطبيق هذا التحديث الجديد بشكل استباقي ، بافتراض أن المحتالين (الذين أصبح يومهم صفر للتو عديم الفائدة من التصحيح الأول) سيبحثون بشدة عن طرق أخرى للعودة.

مما لا يثير الدهشة ، غالبًا ما تتجمع حشرات الريش معًا ، كما أوضحنا في Naked Security هذا الأسبوع بودكاست:

[في 2023-06-09 ، وضعت Progress] تصحيحًا آخر للتعامل مع الأخطاء المماثلة التي ، على حد علمهم ، لم يعثر عليها المحتالون بعد (ولكن إذا بدوا بجدية كافية ، فقد يفعلون ذلك).

وبقدر ما يبدو ذلك غريبًا ، عندما تجد أن جزءًا معينًا من برنامجك به خلل من نوع معين ، لا ينبغي أن تتفاجأ إذا ، عندما تبحث بشكل أعمق ...

... تجد أن المبرمج (أو فريق البرمجة الذي عمل عليه في وقت ظهور الخطأ الذي تعرفه بالفعل) ارتكب أخطاء مماثلة في نفس الوقت تقريبًا.

المرة الثالثة سيئ الحظ

حسنًا ، يبدو أن البرق قد ضرب نفس المكان للمرة الثالثة في تتابع سريع.

هذه المرة ، يبدو كما لو أن شخصًا ما أجرى ما يُعرف في المصطلحات بأنه "إفشاء كامل" (حيث يتم الكشف عن الأخطاء للعالم في نفس الوقت مع البائع ، وبالتالي لا يمنح البائع أي مجال للتنفس لنشر التصحيح بشكل استباقي) ، أو "إسقاط 0 يوم".

التقدم فقط وذكرت:

اليوم [2023-06-15] ، نشرت جهة خارجية علنًا ثغرة أمنية جديدة [حقن SQL]. لقد قمنا بخفض حركة مرور HTTPS لـ MOVEit Cloud في ضوء الثغرة الأمنية المنشورة حديثًا ونطلب من جميع عملاء MOVEit Transfer إزالة حركة مرور HTTP و HTTPS على الفور لحماية بيئاتهم أثناء الانتهاء من التصحيح. نقوم حاليًا باختبار التصحيح وسنقوم بتحديث العملاء قريبًا.

ببساطة ، هناك فترة قصيرة من يوم الصفر يتم خلالها تداول ثغرة العمل ، لكن التصحيح ليس جاهزًا بعد.

كما ذكر التقدم من قبل ، فإن هذه المجموعة التي تسمى أخطاء إدخال الأوامر (حيث ترسل ما يجب أن تكون بيانات غير ضارة يتم استدعاؤها لاحقًا كأمر خادم) يمكن تشغيلها فقط عبر بوابة MOVEit المستندة إلى الويب ، باستخدام HTTP أو HTTPS الطلبات.

لحسن الحظ ، هذا يعني أنك لست بحاجة إلى إيقاف تشغيل نظام MOVEit بالكامل ، فقط الوصول المستند إلى الويب.

ماذا ستفعلين.. إذًا؟

نقلا عن التقدم البرامج وثيقة المشورة بتاريخ 2023-06-15:

قم بتعطيل كل حركات مرور HTTP و HTTP إلى بيئة MOVEit Transfer الخاصة بك. اكثر تحديدا:

قم بتعديل قواعد جدار الحماية لرفض حركة مرور HTTP و HTTPs إلى MOVEit Transfer على المنفذين 80 و 443.
من المهم ملاحظة أنه حتى يتم تمكين حركة مرور HTTP و HTTPS مرة أخرى:
- لن يتمكن المستخدمون من تسجيل الدخول إلى واجهة مستخدم الويب MOVEit Transfer.
- لن تعمل مهام MOVEit Automation التي تستخدم مضيف MOVEit Transfer الأصلي.
- لن تعمل واجهات برمجة تطبيقات REST و Java و .NET.
- لن تعمل الوظيفة الإضافية MOVEit Transfer لبرنامج Outlook.
ستستمر بروتوكولات SFTP و FTP / s في العمل كالمعتاد

انتبه إلى التصحيح الثالث في هذه الملحمة ، وعند هذه النقطة نفترض أن التقدم سيعطي كل الوضوح لإعادة تشغيل الوصول إلى الويب ...

... على الرغم من أننا نتعاطف إذا قررت الاحتفاظ بها لفترة أطول ، فقط للتأكد ، للتأكد.

نصائح التهديد لعملاء SOPHOS

محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
تمويل EVM. واجهة موحدة للتمويل اللامركزي. الوصول هنا.
مجموعة كوانتوم ميديا. تضخيم IR / PR. الوصول هنا.
أفلاطونايستريم. ذكاء بيانات Web3. تضخيم المعرفة. الوصول هنا.
المصدر https://nakedsecurity.sophos.com/2023/06/15/moveit-mayhem-3-disable-http-and-https-traffic-immediately/

الطابع الزمني: 15 حزيران، 2023

الطابع الزمني: يوليو 20، 2023

MOVEit mayhem 3: "تعطيل حركة مرور HTTP و HTTPS على الفور"

أعاد نشره أفلاطون

التحذير الثاني

المرة الثالثة سيئ الحظ

ماذا ستفعلين.. إذًا؟

اكثر من الأمن عارية

المحتالين والمتصلين المحتالين - هل يمكن لأي شيء أن يوقفهم؟

كيف يقوم المحتالون على وسائل التواصل الاجتماعي بشراء الوقت لسرقة رموز 2FA الخاصة بك

تقوم Microsoft بإزالة الأوساخ على "كعب أخيل" من Apple بعد وقت قصير من إصلاح خطأ Windows مماثل

الموسم 3 الحلقة 107: ثمانية أشهر لطرد المحتالين وتعتقد أن هذا جيد؟ [صوت + نص]

كيفية اختراق خادم Exchange غير مسبوق برمز PowerShell خادع

الأمان الجاد: OAuth 2 ولماذا تجبرك Microsoft أخيرًا على ذلك

عندما تتسلل الشرطة مرة أخرى: الشرطة الهولندية تفلت من مجرمي DEADBOLT (قانونيًا!)

من نحن

البحث العمودي و Ai

الانطلاق

ابق على تواصل

حسابي