MOVEit haos 3: „Dezactivați imediat traficul HTTP și HTTPS”

Încă mai mult haos MOVEit!

„Dezactivați traficul HTTP și HTTPS către MOVEit Transfer”, spune Progress Software, iar intervalul de timp pentru a face acest lucru este "imediat", fără dacă, fără dar.

Progress Software este producătorul de software de partajare a fișierelor MOVEitTransfer, și găzduit MOVEit Cloud alternativă care se bazează pe ea, iar acesta este al treilea avertisment în trei săptămâni despre vulnerabilități hackabile din produsul său.

La sfârșitul lunii mai 2023, infractorii de extorcare cibernetică asociați cu banda de ransomware Clop s-au dovedit că foloseau un exploit zero-day pentru a pătrunde în serverele care rulează front-end-ul web al produsului MOVEit.

Trimițând comenzi de bază de date SQL malformate în mod deliberat către un server MOVEit Transfer prin intermediul portalului său web, infractorii puteau accesa tabelele bazei de date fără a avea nevoie de o parolă și puteau implanta programe malware care le permiteau să revină mai târziu la serverele compromise, chiar dacă ar fi fost corecționați în intre timp.

Atacatorii au furat se pare că datele companiei cu trofee, cum ar fi detaliile salariilor angajaților, și au cerut plăți de șantaj în schimb pentru „ștergerea” datelor furate.

We a explicat cum să peticeți și ce ați putea căuta în cazul în care escrocii v-au făcut deja o vizită, la începutul lunii iunie 2023:

Al doilea avertisment

Acest avertisment a fost urmat, săptămâna trecută, de o actualizare de la Progress Software.

În timp ce investigau gaura zero-day pe care tocmai o corectaseră, dezvoltatorii Progress au descoperit defecte de programare similare în altă parte a codului.

Prin urmare, compania a publicat a plasture în continuare, îndemnând clienții să aplice această nouă actualizare în mod proactiv, presupunând că escrocii (a căror zi zero tocmai fusese făcută inutilă de primul patch) ar căuta și alte modalități de a reveni.

Deloc surprinzător, insectele unei pene se adună adesea împreună, așa cum am explicat în Naked Security din această săptămână Podcast:

[Pe 2023-06-09, Progress a lansat] un alt patch-uri pentru a face față unor erori similare pe care, din câte știu ei, escrocii nu le-au găsit încă (dar dacă se uită suficient de greu, s-ar putea).

Și, oricât de ciudat sună, când descoperiți că o anumită parte a software-ului dvs. are o eroare de un anumit tip, nu ar trebui să fiți surprins dacă, când cercetați mai adânc...

… descoperiți că programatorul (sau echipa de programare care a lucrat la el în momentul în care eroarea despre care știți deja a fost introdusă) a comis erori similare aproximativ în același timp.

A treia oară cu ghinion

Ei bine, se pare că fulgerul tocmai a lovit același loc pentru a treia oară în succesiune rapidă.

De data aceasta, se pare că cineva a făcut ceea ce este cunoscut în jargon ca o „dezvăluire completă” (în cazul în care erorile sunt dezvăluite lumii în același timp cu vânzătorului, oferindu-i astfel vânzătorului spațiu de respirație pentru a publica un patch în mod proactiv) , sau „scăderea unei zile 0”.

Progresul are doar raportate:

Astăzi [2023-06-15], o terță parte a postat public o nouă vulnerabilitate [injecție SQL]. Am eliminat traficul HTTPS pentru MOVEit Cloud în lumina vulnerabilității recent publicate și le solicităm tuturor clienților MOVEit Transfer să-și elimine imediat traficul HTTP și HTTPS pentru a-și proteja mediile în timp ce corecția este finalizată. În prezent testăm patch-ul și vom actualiza clienții în curând.

Mai simplu spus, există o perioadă scurtă de zero zile în care circulă un exploit de lucru, dar patch-ul nu este încă gata.

După cum Progress a menționat anterior, acest grup de așa-numite erori de injectare a comenzii (în care trimiteți ceea ce ar trebui să fie date inofensive care ulterior sunt invocate ca comandă de server) pot fi declanșate numai prin portalul web al MOVEit, folosind HTTP sau HTTPS cereri.

Din fericire, asta înseamnă că nu trebuie să închideți întregul sistem MOVEit, ci doar accesul pe web.

Ce să fac?

Citat din Progress Software's document de consiliere din data de 2023-06-15:

Dezactivați tot traficul HTTP și HTTP în mediul dvs. de transfer MOVEit. Mai exact:

• Modificați regulile paravanului de protecție pentru a refuza traficul HTTP și HTTP către MOVEit Transfer pe porturile 80 și 443.
• Este important de reținut că până când traficul HTTP și HTTPS este activat din nou:
  • Utilizatorii nu se vor putea conecta la interfața web MOVEit Transfer.
  • Sarcinile MOVEit Automation care folosesc gazda nativă MOVEit Transfer nu vor funcționa.
  • API-urile REST, Java și .NET nu vor funcționa.
  • Complementul MOVEit Transfer pentru Outlook nu va funcționa.
• Protocoalele SFTP și FTP/s vor continua să funcționeze normal

Țineți ochii pe cel de-al treilea patch din această saga, moment în care presupunem că Progress va da permisiunea de a reactiva accesul web...

…deși am simpatiza dacă ai decide să-l ții închis pentru o perioadă mai mult timp, doar pentru a fi sigur, pentru a fi sigur.

---

SFATURI DE VÂNĂTOARE DE AMENINȚĂRI PENTRU CLIENȚII SOPHOS

---

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• EVM Finance. Interfață unificată pentru finanțare descentralizată. Accesați Aici.
• Grupul Quantum Media. IR/PR amplificat. Accesați Aici.
• PlatoAiStream. Web3 Data Intelligence. Cunoștințe amplificate. Accesați Aici.
• Sursa: https://nakedsecurity.sophos.com/2023/06/15/moveit-mayhem-3-disable-http-and-https-traffic-immediately/