MOVEit mayhem 3: "Deshabilitar el tráfico HTTP y HTTPS inmediatamente"

¡Más caos de MOVEit!

“Deshabilitar el tráfico HTTP y HTTPS para MOVEit Transfer,” dice Progress Software, y el plazo para hacerlo es "inmediatamente", sin peros, sin peros.

Progress Software es el fabricante de software para compartir archivos Transferencia MOVEit, y el hospedado Nube MOVEit alternativa que se basa en él, y esta es su tercera advertencia en tres semanas sobre vulnerabilidades pirateables en su producto.

A fines de mayo de 2023, se descubrió que los delincuentes cibernéticos asociados con la pandilla de ransomware Clop estaban usando un exploit de día cero para ingresar a los servidores que ejecutan el front-end web del producto MOVEit.

Mediante el envío deliberado de comandos de base de datos SQL malformados a un servidor MOVEit Transfer a través de su portal web, los delincuentes podían acceder a las tablas de la base de datos sin necesidad de una contraseña e implantar malware que les permitía volver a los servidores comprometidos más adelante, incluso si habían sido parcheados. mientras tanto.

Aparentemente, los atacantes han estado robando datos de la empresa trofeo, como los detalles de la nómina de los empleados, y exigiendo pagos de chantaje a cambio de "borrar" los datos robados.

We explicado cómo parchear y qué podría buscar en caso de que los delincuentes ya lo hayan visitado, a principios de junio de 2023:

Segunda advertencia

Esa advertencia fue seguida, la semana pasada, por una actualización de Progress Software.

Mientras investigaban el agujero de día cero que acababan de reparar, los desarrolladores de Progress descubrieron fallas de programación similares en otras partes del código.

Por lo tanto, la empresa publicó un más parche, instando a los clientes a aplicar esta nueva actualización de manera proactiva, suponiendo que los ladrones (cuyo día cero acababa de ser inútil con el primer parche) también estarían buscando otras formas de volver a entrar.

Como era de esperar, los insectos de una pluma a menudo se juntan, como explicamos en Naked Security de esta semana. Podcast:

[El 2023-06-09, Progress lanzó] otro parche para tratar errores similares que, hasta donde saben, los delincuentes aún no han encontrado (pero si buscan lo suficiente, es posible que lo encuentren).

Y, por extraño que suene, cuando descubre que una parte particular de su software tiene un error de un tipo particular, no debería sorprenderse si, cuando profundice más...

… descubre que el programador (o el equipo de programación que trabajó en él en el momento en que se introdujo el error que ya conoce) cometió errores similares al mismo tiempo.

Tercera vez desafortunado

Bueno, aparentemente un rayo acaba de caer en el mismo lugar por tercera vez en rápida sucesión.

Esta vez, parece que alguien realizó lo que se conoce en la jerga como una "divulgación completa" (donde los errores se revelan al mundo al mismo tiempo que al proveedor, lo que le da al proveedor un respiro para publicar un parche de manera proactiva) , o "dejar caer un día 0".

El progreso acaba de reportaron:

Hoy [2023-06-15], un tercero publicó públicamente una nueva vulnerabilidad [inyección SQL]. Hemos eliminado el tráfico HTTPS para MOVEit Cloud a la luz de la vulnerabilidad recientemente publicada y estamos pidiendo a todos los clientes de MOVEit Transfer que eliminen inmediatamente su tráfico HTTP y HTTPS para proteger sus entornos mientras finaliza el parche. Actualmente estamos probando el parche y lo actualizaremos en breve.

En pocas palabras, hay un breve período de día cero durante el cual circula un exploit funcional, pero el parche aún no está listo.

Como Progress mencionó anteriormente, este grupo de los llamados errores de inyección de comandos (en los que envía lo que deberían ser datos inofensivos que luego se invocan como un comando del servidor) solo se pueden activar a través del portal basado en la web de MOVEit, usando HTTP o HTTPS. peticiones.

Afortunadamente, eso significa que no necesita apagar todo su sistema MOVEit, solo el acceso basado en la web.

¿Qué hacer?

Citando de Progress Software documento de asesoramiento con fecha 2023-06-15:

Deshabilite todo el tráfico HTTP y HTTPs a su entorno de MOVEit Transfer. Más específicamente:

• Modifique las reglas del firewall para denegar el tráfico HTTP y HTTPs a MOVEit Transfer en los puertos 80 y 443.
• Es importante tener en cuenta que hasta que se vuelva a habilitar el tráfico HTTP y HTTPS:
  • Los usuarios no podrán iniciar sesión en la interfaz de usuario web de MOVEit Transfer.
  • Las tareas de MOVEit Automation que utilizan el host nativo de MOVEit Transfer no funcionarán.
  • Las API REST, Java y .NET no funcionarán.
  • El complemento MOVEit Transfer para Outlook no funcionará.
• Los protocolos SFTP y FTP/s seguirán funcionando con normalidad

Esté atento al tercer parche de esta saga, momento en el que asumimos que Progress dará el visto bueno para volver a activar el acceso web...

…aunque nos solidarizaríamos si decidieras mantenerlo apagado por un tiempo más, solo para estar seguro, para estar seguro.

---

CONSEJOS DE CAZA DE AMENAZAS PARA CLIENTES DE SOPHOS

---

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• EVM Finanzas. Interfaz unificada para finanzas descentralizadas. Accede Aquí.
• Grupo de medios cuánticos. IR/PR amplificado. Accede Aquí.
• PlatoAiStream. Inteligencia de datos Web3. Conocimiento amplificado. Accede Aquí.
• Fuente: https://nakedsecurity.sophos.com/2023/06/15/moveit-mayhem-3-disable-http-and-https-traffic-immediately/