MOVEit mayhem 3: "Nonaktifkan lalu lintas HTTP dan HTTPS segera"

Lebih banyak MOVEit aniaya!

"Nonaktifkan lalu lintas HTTP dan HTTPS ke MOVEit Transfer," kata Progress Software, dan kerangka waktu untuk melakukannya adalah "langsung", tidak ada jika, tidak ada tapi.

Progress Software adalah pembuat perangkat lunak berbagi file Pindahkan Transfer, dan host PINDAHKAN Cloud alternatif yang didasarkan padanya, dan ini adalah peringatan ketiganya dalam tiga minggu tentang kerentanan yang dapat diretas dalam produknya.

Pada akhir Mei 2023, penjahat cyberextortion yang terkait dengan geng ransomware Clop diketahui menggunakan eksploitasi zero-day untuk membobol server yang menjalankan front-end web produk MOVEit.

Dengan sengaja mengirimkan perintah database SQL yang cacat ke server Transfer MOVEit melalui portal webnya, penjahat dapat mengakses tabel database tanpa memerlukan kata sandi, dan menanamkan malware yang memungkinkan mereka untuk kembali ke server yang disusupi di kemudian hari, meskipun telah ditambal. Sementara itu.

Para penyerang rupanya mencuri data perusahaan piala, seperti rincian gaji karyawan, dan menuntut pembayaran pemerasan sebagai imbalan untuk "menghapus" data yang dicuri.

We menjelaskan cara menambal, dan apa yang dapat Anda cari seandainya penjahat telah mengunjungi Anda, pada awal Juni 2023:

Peringatan kedua

Peringatan itu diikuti, minggu lalu, dengan pembaruan dari Progress Software.

Saat menyelidiki lubang zero-day yang baru saja mereka tambal, pengembang Progress menemukan kelemahan pemrograman serupa di tempat lain dalam kode.

Oleh karena itu perusahaan menerbitkan a tambalan lebih lanjut, mendesak pelanggan untuk menerapkan pembaruan baru ini secara proaktif, dengan asumsi bahwa penjahat (yang zero-daynya baru saja dianggap tidak berguna oleh tambalan pertama) juga akan sangat mencari cara lain untuk masuk kembali.

Tidak mengherankan, serangga bulu sering berkumpul bersama, seperti yang kami jelaskan di Keamanan Telanjang minggu ini podcast:

[On 2023-06-09, Progress put] tambalan lain untuk menangani bug serupa yang, sejauh yang mereka tahu, belum ditemukan oleh penjahat (tetapi jika mereka terlihat cukup keras, mereka mungkin).

Dan, seaneh kedengarannya, ketika Anda menemukan bahwa bagian tertentu dari perangkat lunak Anda memiliki bug jenis tertentu, Anda tidak perlu heran jika, ketika Anda menggali lebih dalam…

… Anda menemukan bahwa programmer (atau tim pemrograman yang mengerjakannya pada saat bug yang sudah Anda ketahui diperkenalkan) melakukan kesalahan serupa pada waktu yang hampir bersamaan.

Ketiga kalinya sial

Nah, petir rupanya baru saja menyambar tempat yang sama untuk ketiga kalinya secara berurutan.

Kali ini, sepertinya seseorang melakukan apa yang dikenal dalam jargon sebagai "pengungkapan penuh" (di mana bug terungkap ke dunia pada saat yang sama dengan vendor, sehingga memberi vendor tidak ada ruang untuk menerbitkan tambalan secara proaktif) , atau "menjatuhkan 0 hari".

Kemajuan baru saja melaporkan:

Hari ini [2023-06-15], pihak ketiga secara publik memposting kerentanan [injeksi SQL] baru. Kami telah menurunkan lalu lintas HTTPS untuk MOVEit Cloud sehubungan dengan kerentanan yang baru dipublikasikan dan meminta semua pelanggan MOVEit Transfer untuk segera menghapus lalu lintas HTTP dan HTTPS mereka untuk melindungi lingkungan mereka sementara tambalan diselesaikan. Kami sedang menguji tambalan dan kami akan segera memperbarui pelanggan.

Sederhananya, ada periode zero-day singkat di mana eksploit yang berfungsi beredar, tetapi tambalannya belum siap.

Seperti yang telah disebutkan oleh Progress sebelumnya, grup yang disebut bug injeksi perintah ini (di mana Anda mengirim data yang seharusnya tidak berbahaya yang kemudian dipanggil sebagai perintah server) hanya dapat dipicu melalui portal berbasis web MOVEit, menggunakan HTTP atau HTTPS permintaan.

Untungnya, itu berarti Anda tidak perlu mematikan seluruh sistem MOVEit Anda, hanya akses berbasis web.

Apa yang harus dilakukan?

Mengutip dari Progress Software's dokumen saran tanggal 2023-06-15:

Nonaktifkan semua lalu lintas HTTP dan HTTPs ke lingkungan Transfer MOVEit Anda. Lebih spesifik:

• Ubah aturan firewall untuk menolak lalu lintas HTTP dan HTTPs ke MOVEit Transfer pada port 80 dan 443.
• Penting untuk diperhatikan bahwa hingga lalu lintas HTTP dan HTTPS diaktifkan kembali:
  • Pengguna tidak akan dapat masuk ke UI web MOVEit Transfer.
  • Tugas Otomasi MOVEit yang menggunakan host Transfer MOVEit asli tidak akan berfungsi.
  • REST, Java dan .NET API tidak akan berfungsi.
  • Add-in MOVEit Transfer untuk Outlook tidak akan berfungsi.
• Protokol SFTP dan FTP/s akan terus berfungsi seperti biasa

Perhatikan tambalan ketiga dalam saga ini, di mana kami berasumsi bahwa Progress akan memberikan izin untuk mengaktifkan kembali akses web…

… meskipun kami akan bersimpati jika Anda memutuskan untuk mematikannya lebih lama, hanya untuk memastikan, untuk memastikan.

---

TIPS BERBURU ANCAMAN UNTUK PELANGGAN SOPHOS

---

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• Keuangan EVM. Antarmuka Terpadu untuk Keuangan Terdesentralisasi. Akses Di Sini.
• Grup Media Kuantum. IR/PR Diperkuat. Akses Di Sini.
• PlatoAiStream. Kecerdasan Data Web3. Pengetahuan Diperkuat. Akses Di Sini.
• Sumber: https://nakedsecurity.sophos.com/2023/06/15/moveit-mayhem-3-disable-http-and-https-traffic-immediately/