MOVEit Mayhem 3: "השבת תעבורת HTTP ו-HTTPS באופן מיידי"

עוד יותר מהומה של MOVEit!

"השבת תעבורת HTTP ו-HTTPS ל-MOVEit Transfer," אומר Progress Software, ומסגרת הזמן לעשות זאת היא "מיד", אין אם, אין אבל.

תוכנת פרוגרס היא יצרנית תוכנת שיתוף הקבצים העברת MOVEit, והמתארח MOVEit Cloud אלטרנטיבה שמבוססת עליה, וזו האזהרה השלישית שלה בתוך שלושה שבועות לגבי נקודות תורפה הניתנות לפריצה במוצר שלה.

בסוף מאי 2023, נמצאו פושעי סחיטה ברשת הקשורים לכנופיית תוכנות הכופר של קלופ משתמשים בניצול של יום אפס כדי לפרוץ לשרתים המריצים את חזית האינטרנט של מוצר MOVEit.

על ידי שליחת פקודות מסד נתונים שגויות במכוון לשרת MOVEit Transfer דרך פורטל האינטרנט שלו, הפושעים יכלו לגשת לטבלאות מסד נתונים ללא צורך בסיסמה, ולהשתיל תוכנות זדוניות שאפשרו להם לחזור לשרתים שנפגעו מאוחר יותר, גם אם הם טופלו. בינתיים.

התוקפים ככל הנראה גנבו נתוני חברת גביעים, כגון פרטי שכר עובדים, ודרשו תשלומי סחיטה בתמורה בגין "מחיקת" הנתונים הגנובים.

We מוסבר איך לתקן, ומה אתה יכול לחפש למקרה שהנוכלים כבר ביקרו אותך, בתחילת יוני 2023:

אזהרה שנייה

לאחר אזהרה זו, בשבוע שעבר, עדכון מ-Progress Software.

בזמן שחקרו את החור של יום האפס שהם זה עתה תיקנו, מפתחי Progress חשפו פגמי תכנות דומים במקומות אחרים בקוד.

לפיכך פרסמה החברה א תיקון נוסף, קורא ללקוחות ליישם את העדכון החדש הזה באופן יזום, בהנחה שהנוכלים (שיום האפס שלהם הפך זה עתה לחסר תועלת על ידי התיקון הראשון) יחפשו בדריכות אחר דרכים אחרות להיכנס בחזרה.

באופן לא מפתיע, חרקים של נוצה נוהרים לעתים קרובות, כפי שהסברנו ב-Naked Security של השבוע פודקאסט:

[בתאריך 2023-06-09, פרוגרס הוציאה] תיקון נוסף כדי להתמודד עם באגים דומים שככל שהם יודעים, הנוכלים עדיין לא מצאו (אבל אם הם יחפשו מספיק חזק, אולי הם עשויים).

ועד כמה שזה נשמע מוזר, כשאתה מגלה שבחלק מסוים של התוכנה שלך יש באג מסוג מסוים, אתה לא צריך להיות מופתע אם, כשאתה חופר לעומק...

...אתה מגלה שהמתכנת (או צוות התכנות שעבד עליו בזמן שהבאג שאתה כבר יודע עליו הוצג) ביצע שגיאות דומות בערך באותו זמן.

פעם שלישית חסר מזל

ובכן, ברק כנראה פגע באותו מקום בפעם השלישית ברצף מהיר.

הפעם נראה כאילו מישהו ביצע את מה שידוע בעגה כ"גילוי נאות" (שבו באגים נחשפים לעולם בו-זמנית עם הספק, ובכך לא נותן לספק מרחב נשימה לפרסם תיקון באופן יזום) , או "הורדת 0-יום".

יש רק לקידמה דיווח:

היום [2023-06-15], צד שלישי פרסם בפומבי פגיעות חדשה [הזרקת SQL]. הורדנו את תעבורת HTTPS עבור MOVEit Cloud לאור הפגיעות החדשה שפורסמה ומבקשים מכל לקוחות MOVEit Transfer להוריד מיד את תעבורת ה-HTTP וה-HTTPS שלהם כדי להגן על הסביבה שלהם בזמן שהתיקון יסתיים. אנו בודקים כעת את התיקון ונעדכן את הלקוחות בקרוב.

במילים פשוטות, יש תקופה קצרה של אפס ימים שבמהלכה מסתובב ניצול עובד, אבל התיקון עדיין לא מוכן.

כפי ש-Progress ציינה בעבר, קבוצה זו של מה שנקרא באגים של הזרקת פקודה (שם אתה שולח נתונים שאמורים להיות לא מזיקים שמופעלים מאוחר יותר בתור פקודת שרת) יכולה להיות מופעלת רק דרך הפורטל מבוסס האינטרנט של MOVEit, באמצעות HTTP או HTTPS בקשות.

למרבה המזל, זה אומר שאתה לא צריך לכבות את כל מערכת MOVEit שלך, רק גישה מבוססת אינטרנט.

מה לעשות?

מצטט מ-Progress Software מסמך ייעוץ תאריך 2023-06-15:

השבת את כל תעבורת ה-HTTP וה-HTTP אל סביבת ה-MOVEit Transfer שלך. באופן יותר ספציפי:

• שנה כללי חומת אש כדי למנוע תעבורת HTTP ו-HTTP ל-MOVEit Transfer ביציאות 80 ו-443.
• חשוב לציין שעד שתנועת HTTP ו-HTTPS תופעל שוב:
  • משתמשים לא יוכלו להתחבר לממשק האינטרנט של MOVEit Transfer.
  • משימות אוטומציה של MOVEit המשתמשות במארח MOVEit Transfer המקורי לא יעבדו.
  • ממשקי API של REST, Java ו-.NET לא יעבדו.
  • תוסף MOVEit Transfer עבור Outlook לא יעבוד.
• פרוטוקולי SFTP ו-FTP/s ימשיכו לעבוד כרגיל

שים לב לתיקון השלישי בסאגה הזו, ובשלב זה אנו מניחים ש-Progress תיתן את הכל להפעיל מחדש את הגישה לאינטרנט...

...אם כי נזדהה אם תחליט להשאיר אותו כבוי עוד זמן מה, רק ליתר ביטחון, ליתר ביטחון.

---

טיפים לציד איומים ללקוחות SOPHOS

---

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• EVM Finance. ממשק מאוחד למימון מבוזר. גישה כאן.
• Quantum Media Group. IR/PR מוגבר. גישה כאן.
• PlatoAiStream. Web3 Data Intelligence. הידע מוגבר. גישה כאן.
• מקור: https://nakedsecurity.sophos.com/2023/06/15/moveit-mayhem-3-disable-http-and-https-traffic-immediately/