MOVEit mayhem 3: "Deaktiver HTTP- og HTTPS-trafikk umiddelbart"

Enda mer MOVEit kaos!

"Deaktiver HTTP- og HTTPS-trafikk til MOVEit Transfer," sier Progress Software, og tidsrammen for å gjøre det er "med en gang", ingen hvis, ingen men.

Progress Software er produsent av fildelingsprogramvare MOVEit-overføring, og den vert MOVEit Cloud alternativ som er basert på det, og dette er den tredje advarselen på tre uker om hackbare sårbarheter i produktet.

I slutten av mai 2023 ble det funnet at cyberutpressingskriminelle tilknyttet Clop løsepengevaregjengen brukte en nulldagers utnyttelse for å bryte seg inn på servere som kjører MOVEit-produktets nettfront-end.

Ved å sende bevisst misdannede SQL-databasekommandoer til en MOVEit Transfer-server via nettportalen, kunne de kriminelle få tilgang til databasetabeller uten å trenge passord, og implantere skadelig programvare som gjorde at de kunne returnere til kompromitterte servere senere, selv om de hadde blitt lappet i. i mellomtiden.

Angriperne har tilsynelatende stjålet troféselskapsdata, for eksempel ansattes lønnsdetaljer, og krevd utpressing i retur for å "slette" de stjålne dataene.

We forklarte hvordan lappe, og hva du kan se etter i tilfelle skurkene allerede hadde besøkt deg, tilbake i begynnelsen av juni 2023:

Andre advarsel

Denne advarselen ble fulgt opp, forrige uke, av en oppdatering fra Progress Software.

Mens de undersøkte nulldagershullet som de nettopp hadde rettet, avdekket Progress-utviklere lignende programmeringsfeil andre steder i koden.

Selskapet publiserte derfor en ytterligere lapp, og oppfordrer kunder til å bruke denne nye oppdateringen proaktivt, forutsatt at skurkene (hvis nulldager nettopp hadde blitt ubrukelige av den første oppdateringen) også ville være på utkikk etter andre måter å komme inn igjen på.

Ikke overraskende flokker fjærfeber ofte sammen, som vi forklarte i denne ukens Naked Security podcast:

[På 2023-06-09 la Progress ut] enda en oppdatering for å håndtere lignende feil som, så vidt de vet, skurkene ikke har funnet ennå (men hvis de ser hardt nok, kan de kanskje).

Og, så rart det enn høres ut, når du oppdager at en bestemt del av programvaren din har en feil av en bestemt type, bør du ikke bli overrasket om, når du graver dypere...

...du oppdager at programmereren (eller programmeringsteamet som jobbet med det på det tidspunktet da feilen du allerede vet om ble introdusert) begikk lignende feil omtrent samtidig.

Tredje gang uheldig

Vel, lynet har tilsynelatende nettopp slått ned på samme sted for tredje gang i rask rekkefølge.

Denne gangen virker det som om noen utførte det som er kjent i sjargongen som en "full avsløring" (hvor feil blir avslørt for verden samtidig som for leverandøren, og dermed gir leverandøren ingen pusterom til å publisere en oppdatering proaktivt) , eller "slippe en 0-dag".

Fremgang har nettopp rapportert:

I dag [2023-06-15] publiserte en tredjepart offentlig en ny [SQL-injeksjon] sårbarhet. Vi har fjernet HTTPS-trafikk for MOVEit Cloud i lys av den nylig publiserte sårbarheten og ber alle MOVEit Transfer-kunder om å umiddelbart fjerne HTTP- og HTTPS-trafikken for å beskytte miljøene deres mens oppdateringen er ferdigstilt. Vi tester for tiden oppdateringen, og vi vil oppdatere kundene snart.

Enkelt sagt, det er en kort null-dagers periode der en fungerende utnyttelse sirkulerer, men oppdateringen er ikke klar ennå.

Som Progress har nevnt tidligere, kan denne gruppen av såkalte kommandoinjeksjonsfeil (hvor du sender inn det som burde være ufarlige data som senere blir påkalt som en serverkommando) kun utløses via MOVEits nettbaserte portal, ved bruk av HTTP eller HTTPS forespørsler.

Heldigvis betyr det at du ikke trenger å stenge hele MOVEit-systemet, bare nettbasert tilgang.

Hva gjør jeg?

Siterer fra Progress Software rådsdokument datert 2023-06-15:

Deaktiver all HTTP- og HTTP-trafikk til ditt MOVEit Transfer-miljø. Mer spesifikt:

• Endre brannmurregler for å nekte HTTP- og HTTP-trafikk til MOVEit Transfer på portene 80 og 443.
• Det er viktig å merke seg at inntil HTTP- og HTTPS-trafikk er aktivert igjen:
  • Brukere vil ikke kunne logge på MOVEit Transfer web-UI.
  • MOVEit Automation-oppgaver som bruker den opprinnelige MOVEit Transfer-verten vil ikke fungere.
  • REST, Java og .NET APIer vil ikke fungere.
  • MOVEit Transfer-tillegget for Outlook vil ikke fungere.
• SFTP- og FTP/s-protokollene vil fortsette å fungere som normalt

Hold øynene oppe for den tredje oppdateringen i denne sagaen, og da antar vi at Progress vil gi klarhet for å slå på nettilgang igjen...

...selv om vi ville være medfølende hvis du bestemte deg for å holde den slått av en stund til, bare for å være sikker.

---

TRUSSELJAKTTIPS FOR SOPHOS-KUNDER

---

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• EVM Finans. Unified Interface for desentralisert økonomi. Tilgang her.
• Quantum Media Group. IR/PR forsterket. Tilgang her.
• PlatoAiStream. Web3 Data Intelligence. Kunnskap forsterket. Tilgang her.
• kilde: https://nakedsecurity.sophos.com/2023/06/15/moveit-mayhem-3-disable-http-and-https-traffic-immediately/