עוד יותר מהומה של MOVEit!
"השבת תעבורת HTTP ו-HTTPS ל-MOVEit Transfer," אומר Progress Software, ומסגרת הזמן לעשות זאת היא "מיד", אין אם, אין אבל.
תוכנת פרוגרס היא יצרנית תוכנת שיתוף הקבצים העברת MOVEit, והמתארח MOVEit Cloud אלטרנטיבה שמבוססת עליה, וזו האזהרה השלישית שלה בתוך שלושה שבועות לגבי נקודות תורפה הניתנות לפריצה במוצר שלה.
בסוף מאי 2023, נמצאו פושעי סחיטה ברשת הקשורים לכנופיית תוכנות הכופר של קלופ משתמשים בניצול של יום אפס כדי לפרוץ לשרתים המריצים את חזית האינטרנט של מוצר MOVEit.
על ידי שליחת פקודות מסד נתונים שגויות במכוון לשרת MOVEit Transfer דרך פורטל האינטרנט שלו, הפושעים יכלו לגשת לטבלאות מסד נתונים ללא צורך בסיסמה, ולהשתיל תוכנות זדוניות שאפשרו להם לחזור לשרתים שנפגעו מאוחר יותר, גם אם הם טופלו. בינתיים.
התוקפים ככל הנראה גנבו נתוני חברת גביעים, כגון פרטי שכר עובדים, ודרשו תשלומי סחיטה בתמורה בגין "מחיקת" הנתונים הגנובים.
We מוסבר איך לתקן, ומה אתה יכול לחפש למקרה שהנוכלים כבר ביקרו אותך, בתחילת יוני 2023:
אזהרה שנייה
לאחר אזהרה זו, בשבוע שעבר, עדכון מ-Progress Software.
בזמן שחקרו את החור של יום האפס שהם זה עתה תיקנו, מפתחי Progress חשפו פגמי תכנות דומים במקומות אחרים בקוד.
לפיכך פרסמה החברה א תיקון נוסף, קורא ללקוחות ליישם את העדכון החדש הזה באופן יזום, בהנחה שהנוכלים (שיום האפס שלהם הפך זה עתה לחסר תועלת על ידי התיקון הראשון) יחפשו בדריכות אחר דרכים אחרות להיכנס בחזרה.
באופן לא מפתיע, חרקים של נוצה נוהרים לעתים קרובות, כפי שהסברנו ב-Naked Security של השבוע פודקאסט:
[בתאריך 2023-06-09, פרוגרס הוציאה] תיקון נוסף כדי להתמודד עם באגים דומים שככל שהם יודעים, הנוכלים עדיין לא מצאו (אבל אם הם יחפשו מספיק חזק, אולי הם עשויים).
ועד כמה שזה נשמע מוזר, כשאתה מגלה שבחלק מסוים של התוכנה שלך יש באג מסוג מסוים, אתה לא צריך להיות מופתע אם, כשאתה חופר לעומק...
...אתה מגלה שהמתכנת (או צוות התכנות שעבד עליו בזמן שהבאג שאתה כבר יודע עליו הוצג) ביצע שגיאות דומות בערך באותו זמן.
פעם שלישית חסר מזל
ובכן, ברק כנראה פגע באותו מקום בפעם השלישית ברצף מהיר.
הפעם נראה כאילו מישהו ביצע את מה שידוע בעגה כ"גילוי נאות" (שבו באגים נחשפים לעולם בו-זמנית עם הספק, ובכך לא נותן לספק מרחב נשימה לפרסם תיקון באופן יזום) , או "הורדת 0-יום".
יש רק לקידמה דיווח:
היום [2023-06-15], צד שלישי פרסם בפומבי פגיעות חדשה [הזרקת SQL]. הורדנו את תעבורת HTTPS עבור MOVEit Cloud לאור הפגיעות החדשה שפורסמה ומבקשים מכל לקוחות MOVEit Transfer להוריד מיד את תעבורת ה-HTTP וה-HTTPS שלהם כדי להגן על הסביבה שלהם בזמן שהתיקון יסתיים. אנו בודקים כעת את התיקון ונעדכן את הלקוחות בקרוב.
במילים פשוטות, יש תקופה קצרה של אפס ימים שבמהלכה מסתובב ניצול עובד, אבל התיקון עדיין לא מוכן.
כפי ש-Progress ציינה בעבר, קבוצה זו של מה שנקרא באגים של הזרקת פקודה (שם אתה שולח נתונים שאמורים להיות לא מזיקים שמופעלים מאוחר יותר בתור פקודת שרת) יכולה להיות מופעלת רק דרך הפורטל מבוסס האינטרנט של MOVEit, באמצעות HTTP או HTTPS בקשות.
למרבה המזל, זה אומר שאתה לא צריך לכבות את כל מערכת MOVEit שלך, רק גישה מבוססת אינטרנט.
מה לעשות?
מצטט מ-Progress Software מסמך ייעוץ תאריך 2023-06-15:
השבת את כל תעבורת ה-HTTP וה-HTTP אל סביבת ה-MOVEit Transfer שלך. באופן יותר ספציפי:
- שנה כללי חומת אש כדי למנוע תעבורת HTTP ו-HTTP ל-MOVEit Transfer ביציאות 80 ו-443.
- חשוב לציין שעד שתנועת HTTP ו-HTTPS תופעל שוב:
- משתמשים לא יוכלו להתחבר לממשק האינטרנט של MOVEit Transfer.
- משימות אוטומציה של MOVEit המשתמשות במארח MOVEit Transfer המקורי לא יעבדו.
- ממשקי API של REST, Java ו-.NET לא יעבדו.
- תוסף MOVEit Transfer עבור Outlook לא יעבוד.
- פרוטוקולי SFTP ו-FTP/s ימשיכו לעבוד כרגיל
שים לב לתיקון השלישי בסאגה הזו, ובשלב זה אנו מניחים ש-Progress תיתן את הכל להפעיל מחדש את הגישה לאינטרנט...
...אם כי נזדהה אם תחליט להשאיר אותו כבוי עוד זמן מה, רק ליתר ביטחון, ליתר ביטחון.
טיפים לציד איומים ללקוחות SOPHOS
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- EVM Finance. ממשק מאוחד למימון מבוזר. גישה כאן.
- Quantum Media Group. IR/PR מוגבר. גישה כאן.
- PlatoAiStream. Web3 Data Intelligence. הידע מוגבר. גישה כאן.
- מקור: https://nakedsecurity.sophos.com/2023/06/15/moveit-mayhem-3-disable-http-and-https-traffic-immediately/
- :יש ל
- :הוא
- :לֹא
- :איפה
- 1
- 15%
- 2023
- 25
- 80
- a
- יכול
- אודות
- מוּחלָט
- גישה
- שוב
- תעשיות
- כְּבָר
- גם
- חלופה
- an
- ו
- אחר
- ממשקי API
- החל
- ARE
- סביב
- AS
- המשויך
- At
- מחבר
- המכונית
- אוטומציה
- בחזרה
- רקע תמונה
- מבוסס
- BE
- היה
- לפני
- סחטנות
- גבול
- תַחתִית
- לשבור
- נשימה
- חרק
- באגים
- אבל
- by
- CAN
- מקרה
- מרכז
- מַחזוֹרִי
- ענן
- קוד
- צֶבַע
- מְחוּיָב
- חברה
- התפשר
- להמשיך
- יכול
- לכסות
- פושעים
- קרוקס
- כיום
- לקוחות
- סחיטת סייבר
- נתונים
- מסד נתונים
- תאריכים
- עסקה
- החליט
- תובעני
- פרטים
- מפתחים
- לחפור
- לְהַצִיג
- do
- עושה
- לא
- מטה
- בְּמַהֲלָך
- במקום אחר
- עובד
- מופעל
- סוף
- מספיק
- שלם
- סביבה
- סביבות
- שגיאות
- אֲפִילוּ
- מוסבר
- לנצל
- עיניים
- רחוק
- סופית
- חומת אש
- ראשון
- פגמים
- בעקבות
- בעד
- מצא
- החל מ-
- כְּנוּפִיָה
- לקבל
- לתת
- נתינה
- קְבוּצָה
- היה
- קשה
- יש
- גובה
- חור
- המארח
- אירח
- לרחף
- איך
- איך
- http
- HTTPS
- ציד
- if
- מיד
- חשוב
- in
- אל תוך
- הציג
- הופעל
- IT
- שֶׁלָה
- בז'רגון
- Java
- יוני
- רק
- שמור
- לדעת
- ידוע
- אחרון
- מאוחר יותר
- עזבו
- אוֹר
- ברק
- היכנס
- עוד
- נראה
- הסתכלות
- יצרן
- תוכנות זדוניות
- שולים
- max-width
- מאי..
- אומר
- בינתיים
- מוּזְכָּר
- יכול
- יותר
- ביטחון עירום
- יליד
- צורך
- צורך
- נטו
- חדש
- חדש
- לא
- נוֹרמָלִי
- of
- לעתים קרובות
- on
- רק
- or
- אחר
- הַחוּצָה
- Outlook
- נפרע
- חלק
- מסוים
- סיסמה
- תיקון
- פול
- תשלומים
- גליון שכר
- ביצעתי
- תקופה
- מקום
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- נקודה
- כניסה
- יציאות
- עמדה
- פורסם
- הודעות
- המוצר
- מְתַכנֵת
- תכנות
- התקדמות
- פרוטוקולים
- בפומבי
- לפרסם
- לאור
- גם
- מָהִיר
- ransomware
- מוכן
- קרוב משפחה
- בקשות
- לַחֲזוֹר
- גילה
- תקין
- חֶדֶר
- כללי
- ריצה
- סָגָה
- אותו
- אומר
- אבטחה
- נראה
- לשלוח
- שליחה
- בקצרה
- כבה
- דומה
- So
- תוכנה
- מוצק
- מישהו
- במיוחד
- SQL
- SQL Injection
- התחלה
- גָנוּב
- כזה
- הופתע
- SVG
- מערכת
- לקחת
- משימות
- משימות
- נבחרת
- בדיקות
- זֶה
- השמיים
- העולם
- שֶׁלָהֶם
- אותם
- לכן
- הֵם
- שְׁלִישִׁי
- צד שלישי
- זֶה
- אם כי?
- שְׁלוֹשָׁה
- זמן
- מסגרת זמן
- טיפים
- ל
- יַחַד
- חלק עליון
- תְנוּעָה
- להעביר
- מַעֲבָר
- שָׁקוּף
- מופעל
- תור
- הסתובב
- ui
- חָשׂוּף
- עד
- עדכון
- דוחק
- כתובת האתר
- להשתמש
- באמצעות
- מוכר
- באמצעות
- לְבַקֵר
- פגיעויות
- פגיעות
- אזהרה
- היה
- דרכים
- we
- אינטרנט
- המבוסס על האינטרנט
- שבוע
- שבועות
- היו
- מה
- מתי
- אשר
- בזמן
- מי
- של מי
- יצטרך
- עם
- לְלֹא
- תיק עבודות
- עבד
- עובד
- עוֹלָם
- היה
- עוד
- אתה
- זפירנט