MOVEit 混乱 3: 「HTTP および HTTPS トラフィックを直ちに無効にする」

さらなるMOVEitの騒乱！

「MOVEit Transfer への HTTP および HTTPS トラフィックを無効にする」 Progress Software は次のように述べています。その期間は次のとおりです。 "すぐに"、 「もしも​​」も「しかし」もありません。

Progress Software はファイル共有ソフトウェアのメーカーです MOVEit転送、およびホストされている MOVEitクラウド これは、同社製品のハッキング可能な脆弱性に関するこの XNUMX 週間で XNUMX 回目の警告です。

2023 年 XNUMX 月末、Clop ランサムウェア ギャングに関連するサイバー恐喝犯罪者がゼロデイ エクスプロイトを使用して、MOVEit 製品の Web フロントエンドを実行しているサーバーに侵入していることが判明しました。

意図的に不正な SQL データベース コマンドを Web ポータル経由で MOVEit Transfer サーバーに送信することで、犯罪者はパスワードを必要とせずにデータベース テーブルにアクセスし、たとえパッチが適用されていたとしても後で侵害されたサーバーに戻ることを可能にするマルウェアを埋め込むことができます。その間に。

攻撃者は明らかに、従業員の給与明細などの会社のトロフィーデータを盗み、盗んだデータを「削除」する代わりに脅迫的な支払いを要求しているようです。

We 説明 パッチの適用方法と、2023 年 XNUMX 月初めに詐欺師がすでに訪問していた場合に備えて何を探すことができるか:

二度目の警告

この警告に続いて、先週、Progress Software からのアップデートが行われました。

Progress の開発者は、パッチを適用したばかりのゼロデイ ホールを調査しているときに、コードの他の場所に同様のプログラミング上の欠陥を発見しました。

そこで同社は、 さらなるパッチ、詐欺師（最初のパッチによってゼロデイが役に立たなくなったばかり）も再び侵入する別の方法を熱心に探しているだろうと想定して、この新しいアップデートを積極的に適用するよう顧客に促しています。

当然のことながら、今週の Naked Security で説明したように、羽根の虫はよく群れます。 ポッドキャスト:

[2023 年 06 月 09 日、Progress は] 同様のバグに対処するための別のパッチを公開しましたが、彼らの知る限り、詐欺師たちはまだ発見していません (ただし、十分に注意深く探せば見つけられるかもしれません)。

そして、奇妙に聞こえるかもしれませんが、ソフトウェアの特定の部分に特定の種類のバグがあることがわかったとしても、さらに深く掘り下げていくと、次のようになったとしても驚くべきではありません。

…プログラマー (または、すでにわかっているバグが導入されたときに作業していたプログラミング チーム) が、ほぼ同じ時期に同様のエラーを犯したことがわかります。

XNUMX回目は不運

そうですね、どうやら同じ場所に雷が立て続けにXNUMX回落ちたようです。

今回は、誰かが専門用語で「完全開示」として知られることを実行したかのように見えます (バグがベンダーと同時に世界に公開され、ベンダーに積極的にパッチを公開する余地を与えません)。 、または「0日を削除する」。

進歩はまさに 報告:

本日[2023-06-15]、サードパーティが新しい [SQL インジェクション] 脆弱性を公開しました。 新たに公開された脆弱性を考慮して、MOVEit Cloud の HTTPS トラフィックを停止しました。すべての MOVEit Transfer 顧客に対し、パッチが完成するまでの間、環境を保護するために HTTP および HTTPS トラフィックを直ちに停止するようお願いしています。 現在パッチをテスト中であり、間もなくお客様に最新情報をお知らせいたします。

簡単に言えば、有効なエクスプロイトが流通する短いゼロデイ期間がありますが、パッチはまだ準備ができていません。

Progress が以前述べたように、このグループのいわゆるコマンド インジェクション バグ (無害であるはずのデータを送信し、後でサーバー コマンドとして呼び出される) は、HTTP または HTTPS を使用する MOVEit の Web ベース ポータル経由でのみトリガーできます。リクエスト。

幸いなことに、これは MOVEit システム全体をシャットダウンする必要はなく、Web ベースのアクセスのみをシャットダウンする必要があることを意味します。

何をするか？

Progress Software からの引用 アドバイス文書 2023 年 06 月 15 日付け:

MOVEit Transfer 環境へのすべての HTTP および HTTPS トラフィックを無効にします。 すなわち：

• ポート 80 および 443 で MOVEit Transfer への HTTP および HTTPS トラフィックを拒否するようにファイアウォール ルールを変更します。
• HTTP および HTTPS トラフィックが再び有効になるまでは、次の点に注意することが重要です。
  • ユーザーは MOVEit Transfer Web UI にログオンできなくなります。
  • ネイティブ MOVEit Transfer ホストを使用する MOVEit オートメーション タスクは機能しません。
  • REST、Java、および .NET API は機能しません。
  • Outlook 用 MOVEit Transfer アドインは機能しません。
• SFTP および FTP/s プロトコルは引き続き通常どおり動作します

この物語の XNUMX 番目のパッチに注目してください。その時点で、Progress によって Web アクセスを再び有効にすることが完全に許可されると考えられます…

…とはいえ、念のため、もうしばらく電源を切っておくことにしたのであれば、私たちは同情します。

---

ソフォスのお客様向けの脅威ハンティングのヒント

---

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• EVMファイナンス。 分散型金融のための統一インターフェイス。 こちらからアクセスしてください。
• クォンタムメディアグループ。 IR/PR増幅。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 データ インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• 情報源： https://nakedsecurity.sophos.com/2023/06/15/moveit-mayhem-3-disable-http-and-https-traffic-immediately/