MOVEit Mayhem 3: "Keelake kohe HTTP- ja HTTPS-liiklus"

Veel rohkem MOVEiti kaost!

"Keela HTTP- ja HTTPS-liiklus MOVEit Transferis" ütleb Progress Software ja aeg selleks on "kohe", ei kui, ei aga.

Progress Software on failijagamistarkvara tegija MOVEitTransferja majutatud MOVEit Cloud sellel põhinev alternatiiv ja see on kolmas hoiatus kolme nädala jooksul selle toote häkitavate turvaaukude kohta.

2023. aasta mai lõpus leiti, et Clopi lunavarajõuguga seotud küberväljapressimise kurjategijad kasutasid MOVEiti toote veebiliidese töötavate serverite sissemurdmiseks nullpäeva rünnakut.

Saates MOVEit Transferi serverisse selle veebiportaali kaudu tahtlikult valesti vormindatud SQL-andmebaasi käske, pääsesid kurjategijad andmebaasi tabelitele juurde ilma paroolita ja implanteerisid pahavara, mis võimaldas neil hiljem ohustatud serveritesse naasta, isegi kui need olid paigatud. vahepeal.

Ründajad on ilmselt varastanud trofeeettevõtte andmeid, näiteks töötajate palgaarvestuse andmeid, ja nõudnud varastatud andmete "kustutamise" eest tagasimakseid.

We selgitas kuidas lappida ja mida võiksite otsida juhuks, kui kelmid on teile juba 2023. aasta juuni alguses külla tulnud:

Teine hoiatus

Sellele hoiatusele järgnes eelmisel nädalal Progress Software värskendus.

Uurides nullpäeva auku, mille nad just lappisid, avastasid Progressi arendajad sarnaseid programmeerimisvigu ka mujal koodis.

Seetõttu avaldas ettevõte a edasine plaaster, kutsudes kliente üles seda uut värskendust ennetavalt rakendama, eeldades, et kelmid (kelle nullpäeva just esimene plaaster kasutuks muutis) otsivad innukalt ka muid võimalusi tagasi pääsemiseks.

Pole üllatav, et suleputkad kogunevad sageli kokku, nagu selgitasime selle nädala ajakirjas Naked Security podcast:

[2023-06-09 pani Progress välja] veel ühe paiga, et tegeleda sarnaste vigadega, mida nende teada pole kelmid veel leidnud (kuid kui nad piisavalt hoolikalt otsivad, võivad nad seda teha).

Ja nii imelik kui see ka ei kõla, kui avastate, et teie tarkvara teatud osas on teatud tüüpi viga, ei tohiks te olla üllatunud, kui süvenedes…

…te avastate, et programmeerija (või programmeerimismeeskond, kes selle kallal töötas sel ajal, kui viga, millest te juba teada saite), tegi umbes samal ajal sarnaseid vigu.

Kolmas kord õnnetu

Ilmselt tabas välk just kolmandat korda järjest samasse kohta.

Seekord tundub, et keegi tegi seda, mida žargoonis nimetatakse "täielikuks avalikustamiseks" (kus vead avaldatakse maailmale samal ajal kui müüjale, jättes seega müüjale ruumi ennetavalt plaastri avaldamiseks). või "0-päevast loobumine".

Edusammud on just teatatud:

Täna [2023-06-15] postitas kolmas osapool avalikult uue [SQL-i süstimise] haavatavuse. Oleme äsja avaldatud haavatavuse valguses MOVEit Cloudi HTTPS-i liikluse vähendanud ja palume kõigil MOVEit Transferi klientidel viivitamatult oma HTTP- ja HTTPS-liiklus maha võtta, et kaitsta oma keskkonda paiga valmimise ajal. Hetkel testime plaastrit ja värskendame kliente peagi.

Lihtsamalt öeldes on lühike nullpäevane periood, mille jooksul toimiv ärakasutamine ringleb, kuid plaaster pole veel valmis.

Nagu Progress on varem maininud, saab seda niinimetatud käsusüstimise vigade rühma (kuhu saadate kahjutuid andmeid, mis hiljem serverikäsuna kutsutakse) käivitada ainult MOVEiti veebipõhise portaali kaudu, kasutades HTTP või HTTPS. taotlusi.

Õnneks tähendab see, et te ei pea kogu MOVEiti süsteemi sulgema, vaid ainult veebipõhist juurdepääsu.

Mida teha?

Tsitaat Progress Software'ilt nõuande dokument dateeritud 2023-06-15:

Keelake kogu HTTP- ja HTTPs-liiklus oma MOVEit Transferi keskkonda. Täpsemalt:

• Muutke tulemüüri reegleid, et keelata HTTP- ja HTTPs-liiklus MOVEit Transferile portides 80 ja 443.
• Oluline on meeles pidada, et kuni HTTP- ja HTTPS-liikluse uuesti lubamiseni:
  • Kasutajad ei saa MOVEit Transferi veebiliidese sisse logida.
  • MOVEit Automationi ülesanded, mis kasutavad natiivset MOVEit Transferi hosti, ei tööta.
  • REST, Java ja .NET API-d ei tööta.
  • Outlooki lisandmoodul MOVEit Transfer ei tööta.
• SFTP ja FTP/s protokollid töötavad edasi nagu tavaliselt

Hoidke silmad ette selle saaga kolmanda plaastri jaoks, misjärel eeldame, et Progress annab veebijuurdepääsu uuesti sisselülitamiseks kõik selge.

...kuigi tunneksime kaasa, kui otsustaksite selle veel mõnda aega välja lülitada, et olla kindel, et olla kindel.

---

NÄPUNÄITED SOPHOSE KLIENTIDELE OHUD JAHIKS

---

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• EVM Finance. Detsentraliseeritud rahanduse ühtne liides. Juurdepääs siia.
• Quantum Media Group. IR/PR võimendatud. Juurdepääs siia.
• PlatoAiStream. Web3 andmete luure. Täiustatud teadmised. Juurdepääs siia.
• Allikas: https://nakedsecurity.sophos.com/2023/06/15/moveit-mayhem-3-disable-http-and-https-traffic-immediately/