MOVEit Mayhem 3: "Poista HTTP- ja HTTPS-liikenne välittömästi käytöstä"

Vielä lisää MOVEit sekasortoa!

"Poista HTTP- ja HTTPS-liikenne käytöstä MOVEit Transferiin" sanoo Progress Software, ja aikaraja sen tekemiselle on "heti", ei jos, ei mutta.

Progress Software on tiedostonjakoohjelmistojen valmistaja MOVEitTransfer, ja isännöi MOVEit Cloud vaihtoehto, joka perustuu siihen, ja tämä on kolmas varoitus kolmen viikon sisällä tuotteen hakkeroitavista haavoittuvuuksista.

Toukokuun 2023 lopussa Clop ransomware -jengiin liittyvien kyberkiristysrikollisten havaittiin murtautuneen MOVEit-tuotteen verkkokäyttöliittymää käyttäville palvelimille nollapäivän hyväksikäytöllä.

Lähettämällä tarkoituksellisesti väärin muotoiltuja SQL-tietokantakomentoja MOVEit Transfer -palvelimelle sen verkkoportaalin kautta, rikolliset voivat käyttää tietokantataulukoita ilman salasanaa ja istuttaa haittaohjelmia, jotka antoivat heille mahdollisuuden palata vaarantuneille palvelimille myöhemmin, vaikka ne olisi korjattu. sillä välin.

Hyökkääjät ovat ilmeisesti varastaneet palkintoyritystietoja, kuten työntekijöiden palkkatietoja, ja vaatineet kiristysmaksuja vastineeksi varastettujen tietojen "poistamisesta".

We selitti kuinka korjata ja mitä voisi etsiä, jos roistot olivat jo käyneet luonasi jo kesäkuun 2023 alussa:

Toinen varoitus

Tätä varoitusta seurasi viime viikolla Progress Software -päivitys.

Tutkiessaan juuri korjattua nollapäivän aukkoa Progress-kehittäjät paljastivat samanlaisia ​​ohjelmointivirheitä muualta koodista.

Siksi yhtiö julkaisi a lisäkorjaus, joka kehottaa asiakkaita ottamaan tämän uuden päivityksen käyttöön ennakoivasti, olettaen, että roistot (jonka nollapäivä oli juuri tehty hyödyttömäksi ensimmäisellä korjaustiedostolla) etsivät myös innokkaasti muita tapoja päästä takaisin.

Ei ole yllättävää, että höyhenen höyhenet kerääntyvät usein yhteen, kuten selitimme tämän viikon Naked Securityssa podcast:

[Progress julkaisi 2023-06-09] toisen korjaustiedoston käsitelläkseen samanlaisia ​​bugeja, joita heidän tietääkseen roistot eivät ole vielä löytäneet (mutta jos he katsovat tarpeeksi tarkasti, he saattavat).

Ja niin oudolta kuin se kuulostaakin, kun huomaat, että ohjelmistosi tietyssä osassa on tietynlainen bugi, sinun ei pitäisi olla yllättynyt, jos kaivaa syvemmälle…

…huomatat, että ohjelmoija (tai ohjelmointitiimi, joka työskenteli sen parissa silloin, kun jo tietämäsi bugi otettiin käyttöön) teki samanlaisia ​​virheitä suunnilleen samaan aikaan.

Kolmas kerta onneton

No, salama on ilmeisesti juuri iskenyt samaan paikkaan kolmannen kerran nopeasti peräkkäin.

Tällä kertaa näyttää siltä, ​​että joku teki sen, mitä ammattikieltä tunnetaan "täydelliseksi paljastamiseksi" (jossa virheet paljastetaan maailmalle samaan aikaan kuin myyjälle, jolloin myyjälle ei jää hengähdystaukoa julkaista korjaustiedosto ennakoivasti) , tai "0-päivän pudottaminen".

Edistystä on juuri tapahtunut raportoitu:

Tänään [2023-06-15] kolmas osapuoli julkaisi julkisesti uuden [SQL-injektion]-haavoittuvuuden. Olemme poistaneet MOVEit Cloudin HTTPS-liikenteen äskettäin julkaistun haavoittuvuuden vuoksi ja pyydämme kaikkia MOVEit Transfer -asiakkaita poistamaan välittömästi HTTP- ja HTTPS-liikenteensä ympäristönsä turvaamiseksi, kun korjaustiedosto on viimeistelty. Testaamme parhaillaan korjaustiedostoa ja päivitämme asiakkaille pian.

Yksinkertaisesti sanottuna on lyhyt nollapäivän jakso, jonka aikana toimiva hyväksikäyttö kiertää, mutta korjaustiedosto ei ole vielä valmis.

Kuten Progress on aiemmin maininnut, tämä ryhmä ns. komento-injektiovirheitä (johon lähetetään vaaratonta dataa, joka myöhemmin kutsutaan palvelinkomentoksi) voidaan laukaista vain MOVEitin verkkoportaalin kautta HTTP- tai HTTPS-protokollaa käyttäen. pyynnöt.

Onneksi tämä tarkoittaa, että sinun ei tarvitse sulkea koko MOVEit-järjestelmääsi, vain verkkopohjainen pääsy.

Mitä tehdä?

Lainaus Progress Softwaren sivuilta neuvontaasiakirja päivätty 2023-06-15:

Poista käytöstä kaikki HTTP- ja HTTPs-liikenne MOVEit Transfer -ympäristöösi. Tarkemmin:

• Muokkaa palomuurisääntöjä estääksesi HTTP- ja HTTPs-liikenteen MOVEit Transferin porteissa 80 ja 443.
• On tärkeää huomata, että kunnes HTTP- ja HTTPS-liikenne otetaan uudelleen käyttöön:
  • Käyttäjät eivät voi kirjautua MOVEit Transfer -verkkokäyttöliittymään.
  • MOVEit Automation -tehtävät, jotka käyttävät alkuperäistä MOVEit Transfer -isäntää, eivät toimi.
  • REST-, Java- ja .NET-sovellusliittymät eivät toimi.
  • MOVEit Transfer -apuohjelma Outlookille ei toimi.
• SFTP- ja FTP/s-protokollat ​​toimivat edelleen normaalisti

Pidä silmäsi auki tämän saagan kolmatta korjausta varten, jolloin oletamme, että Progress antaa kaiken selvän verkkoyhteyden ottamiseksi takaisin käyttöön…

…vaikka olisimme myötätuntoisia, jos päättäisitte pitää sen pois päältä vielä jonkin aikaa, varmuuden vuoksi.

---

VINKKEJÄ UHANMETSÄSTÄ SOPHOS-ASIAKKAILLE

---

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• EVM Finance. Hajautetun rahoituksen yhtenäinen käyttöliittymä. Pääsy tästä.
• Quantum Media Group. IR/PR vahvistettu. Pääsy tästä.
• PlatoAiStream. Web3 Data Intelligence. Tietoa laajennettu. Pääsy tästä.
• Lähde: https://nakedsecurity.sophos.com/2023/06/15/moveit-mayhem-3-disable-http-and-https-traffic-immediately/