MOVEit mayhem 3: "Disabilita immediatamente il traffico HTTP e HTTPS"

Ancora più MOVEit caos!

"Disabilita il traffico HTTP e HTTPS su MOVEit Transfer" dice Progress Software, e il lasso di tempo per farlo è "subito", senza se, senza ma.

Progress Software è il creatore di software per la condivisione di file MOVEit Trasferimentoe l'hosted MOVEit Cloud alternativa che si basa su di esso, e questo è il suo terzo avviso in tre settimane sulle vulnerabilità hackerabili nel suo prodotto.

Alla fine di maggio 2023, è stato scoperto che i criminali di estorsione informatica associati alla banda di ransomware Clop utilizzavano un exploit zero-day per entrare nei server che eseguono il front-end web del prodotto MOVEit.

Inviando comandi di database SQL deliberatamente malformati a un server MOVEit Transfer tramite il suo portale Web, i criminali potevano accedere alle tabelle del database senza bisogno di una password e impiantare malware che consentisse loro di tornare successivamente ai server compromessi, anche se erano stati rattoppati nel frattempo.

Apparentemente gli aggressori hanno rubato i dati aziendali dei trofei, come i dettagli del libro paga dei dipendenti, e hanno chiesto pagamenti di ricatto in cambio della "cancellazione" dei dati rubati.

We ha spiegato come applicare la patch e cosa potresti cercare nel caso in cui i truffatori ti avessero già fatto visita, all'inizio di giugno 2023:

Secondo avvertimento

Quell'avvertimento è stato seguito, la scorsa settimana, da un aggiornamento di Progress Software.

Durante le indagini sul buco zero-day che avevano appena corretto, gli sviluppatori di Progress hanno scoperto difetti di programmazione simili in altre parti del codice.

La società ha quindi pubblicato a ulteriore patch, esortando i clienti ad applicare questo nuovo aggiornamento in modo proattivo, supponendo che anche i truffatori (il cui zero-day era stato appena reso inutile dalla prima patch) sarebbero alla ricerca di altri modi per rientrare.

Non sorprende che gli insetti di una piuma spesso si accumulino insieme, come abbiamo spiegato in Naked Security di questa settimana Podcast:

[Il 2023-06-09, Progress ha pubblicato] un'altra patch per gestire bug simili che, per quanto ne sanno, i truffatori non hanno ancora trovato (ma se guardano abbastanza attentamente, potrebbero).

E, per quanto strano possa sembrare, quando scopri che una particolare parte del tuo software ha un bug di un tipo particolare, non dovresti essere sorpreso se, quando scavi più a fondo...

... scopri che il programmatore (o il team di programmazione che ci ha lavorato nel momento in cui è stato introdotto il bug che già conosci) ha commesso errori simili nello stesso periodo.

Terza volta sfortunata

Ebbene, a quanto pare un fulmine ha appena colpito lo stesso punto per la terza volta in rapida successione.

Questa volta, sembra che qualcuno abbia eseguito quella che in gergo è nota come "divulgazione completa" (dove i bug vengono rivelati al mondo contemporaneamente al venditore, non dando così al venditore il respiro per pubblicare una patch in modo proattivo). , o "eliminare un giorno 0".

Il progresso ha appena segnalati:

Oggi [2023-06-15], una terza parte ha pubblicato pubblicamente una nuova vulnerabilità [SQL injection]. Abbiamo ridotto il traffico HTTPS per MOVEit Cloud alla luce della vulnerabilità recentemente pubblicata e chiediamo a tutti i clienti MOVEit Transfer di interrompere immediatamente il loro traffico HTTP e HTTPS per salvaguardare i loro ambienti mentre la patch è finalizzata. Attualmente stiamo testando la patch e aggiorneremo i clienti a breve.

In poche parole, c'è un breve periodo zero-day durante il quale circola un exploit funzionante, ma la patch non è ancora pronta.

Come Progress ha accennato in precedenza, questo gruppo di cosiddetti bug di command injection (in cui si inviano quelli che dovrebbero essere dati innocui che in seguito vengono richiamati come comando del server) può essere attivato solo tramite il portale Web di MOVEit, utilizzando HTTP o HTTPS richieste.

Fortunatamente, ciò significa che non è necessario spegnere l'intero sistema MOVEit, solo l'accesso basato sul web.

Cosa fare?

Citando da Progress Software documento di consulenza del 2023-06-15:

Disabilita tutto il traffico HTTP e HTTPs verso il tuo ambiente MOVEit Transfer. Più specificamente:

• Modifica le regole del firewall per negare il traffico HTTP e HTTP a MOVEit Transfer sulle porte 80 e 443.
• È importante notare che fino a quando il traffico HTTP e HTTPS non sarà nuovamente abilitato:
  • Gli utenti non saranno in grado di accedere all'interfaccia utente web di MOVEit Transfer.
  • Le attività di automazione MOVEit che utilizzano l'host di trasferimento MOVEit nativo non funzioneranno.
  • Le API REST, Java e .NET non funzioneranno.
  • Il componente aggiuntivo MOVEit Transfer per Outlook non funzionerà.
• I protocolli SFTP e FTP/s continueranno a funzionare normalmente

Tieni gli occhi aperti per la terza patch di questa saga, a quel punto presumiamo che Progress darà il via libera per riattivare l'accesso al web...

…anche se saremmo solidari se decidessi di tenerlo spento ancora per un po', giusto per essere sicuri, per essere sicuri.

---

CONSIGLI PER LA RICERCA DELLE MINACCE PER I CLIENTI SOPHOS

---

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• EVM Finance. Interfaccia unificata per la finanza decentralizzata. Accedi qui.
• Quantum Media Group. IR/PR amplificato. Accedi qui.
• PlatoAiStream. Intelligenza dei dati Web3. Conoscenza amplificata. Accedi qui.
• Fonte: https://nakedsecurity.sophos.com/2023/06/15/moveit-mayhem-3-disable-http-and-https-traffic-immediately/