MOVEit mayhem 3: “Desative o tráfego HTTP e HTTPS imediatamente”

Ainda mais caos MOVEit!

“Desativar tráfego HTTP e HTTPS para MOVEit Transfer,” diz a Progress Software, e o prazo para isso é "imediatamente", sem ses, sem mas.

Progress Software é o fabricante de software de compartilhamento de arquivos Transferência MOVEit, e o hospedado Nuvem MOVEit alternativa baseada nela, e este é o terceiro aviso em três semanas sobre vulnerabilidades hackeáveis ​​em seu produto.

No final de maio de 2023, descobriu-se que criminosos de ciberextorsão associados à gangue Clop ransomware estavam usando uma exploração de dia zero para invadir servidores que executavam o front-end da web do produto MOVEit.

Ao enviar comandos de banco de dados SQL deliberadamente malformados para um servidor MOVEit Transfer por meio de seu portal da Web, os criminosos podiam acessar tabelas de banco de dados sem precisar de uma senha e implantar malware que lhes permitia retornar a servidores comprometidos mais tarde, mesmo que tivessem sido corrigidos em enquanto isso.

Os invasores aparentemente roubaram dados valiosos da empresa, como detalhes da folha de pagamento dos funcionários, e exigiram pagamentos de chantagem em troca de “excluir” os dados roubados.

We explicado como corrigir e o que você poderia procurar caso os bandidos já tivessem lhe visitado, no início de junho de 2023:

Segundo aviso

Esse aviso foi seguido, na semana passada, por uma atualização da Progress Software.

Ao investigar o buraco de dia zero que eles acabaram de corrigir, os desenvolvedores do Progress descobriram falhas de programação semelhantes em outras partes do código.

A empresa, portanto, publicou um remendo adicional, instando os clientes a aplicar esta nova atualização de forma proativa, assumindo que os bandidos (cujo dia zero havia acabado de ser inutilizado pelo primeiro patch) também estariam procurando outras maneiras de voltar.

Sem surpresa, insetos de uma pena geralmente se reúnem, como explicamos no Naked Security desta semana Podcast:

[Em 2023/06/09, a Progress colocou] outro patch para lidar com bugs semelhantes que, até onde eles sabem, os bandidos ainda não encontraram (mas se procurarem bem, eles podem).

E, por mais estranho que pareça, quando você descobre que uma parte específica do seu software tem um bug de um tipo específico, não deve se surpreender se, quando se aprofundar…

…você descobre que o programador (ou a equipe de programação que trabalhou nele na época em que o bug que você já conhece foi introduzido) cometeu erros semelhantes na mesma época.

Terceira vez azarado

Bem, um raio aparentemente atingiu o mesmo lugar pela terceira vez em rápida sucessão.

Desta vez, parece que alguém realizou o que é conhecido no jargão como uma “divulgação completa” (onde os bugs são revelados ao mundo ao mesmo tempo que o fornecedor, dando assim ao fornecedor nenhum espaço para respirar para publicar um patch proativamente) , ou “descartando um dia 0”.

O progresso acaba de relatado:

Hoje [2023-06-15], um terceiro postou publicamente uma nova vulnerabilidade [injeção de SQL]. Desativamos o tráfego HTTPS para o MOVEit Cloud devido à vulnerabilidade recém-publicada e pedimos a todos os clientes do MOVEit Transfer que desativem imediatamente o tráfego HTTP e HTTPS para proteger seus ambientes enquanto o patch é finalizado. No momento, estamos testando o patch e atualizaremos os clientes em breve.

Simplificando, há um breve período de dia zero durante o qual uma exploração de trabalho está circulando, mas o patch ainda não está pronto.

Como o Progress mencionou anteriormente, esse grupo de chamados bugs de injeção de comando (onde você envia o que deveriam ser dados inofensivos que mais tarde são invocados como um comando do servidor) só pode ser acionado por meio do portal baseado na web do MOVEit, usando HTTP ou HTTPS solicitações de.

Felizmente, isso significa que você não precisa desligar todo o seu sistema MOVEit, apenas acesso baseado na web.

O que fazer?

Citando da Progress Software documento de aconselhamento datado de 2023/06/15:

Desative todo o tráfego HTTP e HTTPs para seu ambiente MOVEit Transfer. Mais especificamente:

• Modifique as regras de firewall para negar tráfego HTTP e HTTPs para MOVEit Transfer nas portas 80 e 443.
• É importante observar que, até que o tráfego HTTP e HTTPS seja ativado novamente:
  • Os usuários não poderão fazer logon na interface de usuário da Web do MOVEit Transfer.
  • As tarefas do MOVEit Automation que usam o host MOVEit Transfer nativo não funcionarão.
  • As APIs REST, Java e .NET não funcionarão.
  • O suplemento MOVEit Transfer para Outlook não funcionará.
• Os protocolos SFTP e FTP/s continuarão funcionando normalmente

Fique de olho no terceiro patch desta saga, momento em que assumimos que o Progress dará permissão para ativar o acesso à web novamente…

…embora simpatizássemos se você decidisse mantê-lo desligado por mais algum tempo, só para ter certeza, para ter certeza.

---

DICAS DE CAÇA A AMEAÇAS PARA CLIENTES SOPHOS

---

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• EVM Finanças. Interface unificada para finanças descentralizadas. Acesse aqui.
• Grupo de Mídia Quântica. IR/PR Amplificado. Acesse aqui.
• PlatoAiStream. Inteligência de Dados Web3. Conhecimento Amplificado. Acesse aqui.
• Fonte: https://nakedsecurity.sophos.com/2023/06/15/moveit-mayhem-3-disable-http-and-https-traffic-immediately/