Еще больше MOVEit хаоса!
«Отключите трафик HTTP и HTTPS для MOVEit Transfer», говорит Progress Software, и сроки для этого "немедленно", никаких если, никаких но.
Progress Software — производитель программного обеспечения для обмена файлами. MOVEit Трансфер, и размещенный Облако MOVEit основанную на нем альтернативу, и это уже третье предупреждение за три недели об уязвимостях в продукте, которые можно взломать.
В конце мая 2023 года было обнаружено, что преступники, занимающиеся кибервымогательством, связанные с бандой вымогателей Clop, используют эксплойт нулевого дня для взлома серверов, на которых работает веб-интерфейс продукта MOVEit.
Отправляя преднамеренно искаженные команды базы данных SQL на сервер MOVEit Transfer через его веб-портал, преступники могли получить доступ к таблицам базы данных без необходимости ввода пароля и внедрить вредоносное ПО, которое позволило им позже вернуться на скомпрометированные серверы, даже если они были исправлены. тем временем.
Злоумышленники, по-видимому, воровали трофейные данные компании, такие как данные о заработной плате сотрудников, и требовали шантажирующих платежей в обмен на «удаление» украденных данных.
We объяснены как исправить, и что вы можете искать, если мошенники уже нанесли вам визит еще в начале июня 2023 года:
Второе предупреждение
За этим предупреждением на прошлой неделе последовало обновление от Progress Software.
Исследуя дыру нулевого дня, которую они только что залатали, разработчики Progress обнаружили аналогичные программные недостатки в других частях кода.
Поэтому компания опубликовала дальнейший патч, призывая клиентов применять это новое обновление заблаговременно, предполагая, что мошенники (чей нулевой день только что стал бесполезным с первым патчем) также будут активно искать другие способы вернуться.
Неудивительно, что жуки из пера часто собираются вместе, как мы объяснили в статье «Голая безопасность» на этой неделе. Подкаст:
[2023 Progress выложил] еще один патч для устранения подобных ошибок, которые, насколько им известно, мошенники еще не нашли (но если поискать достаточно внимательно, то могут).
И, как бы странно это ни звучало, когда вы обнаружите, что в определенной части вашего программного обеспечения есть ошибка определенного типа, вы не должны удивляться, если, копнув глубже…
… вы обнаружите, что программист (или команда программистов, которые работали над ним в то время, когда появилась ошибка, о которой вы уже знаете) совершили аналогичные ошибки примерно в одно и то же время.
В третий раз не повезло
Что ж, молния, видимо, только что ударила в одно и то же место в третий раз подряд.
На этот раз кажется, что кто-то выполнил то, что на жаргоне известно как «полное раскрытие информации» (где ошибки раскрываются миру одновременно с поставщиком, что не дает поставщику передышки для активной публикации исправления). или «отбрасывание нулевого дня».
Прогресс только что переправу:
Сегодня [2023 июня 06 г.] сторонняя организация опубликовала в открытом доступе новую уязвимость [внедрение SQL]. Мы отключили HTTPS-трафик для MOVEit Cloud в связи с недавно опубликованной уязвимостью и просим всех клиентов MOVEit Transfer немедленно отключить HTTP- и HTTPS-трафик для защиты своих сред, пока работа над исправлением будет завершена. В настоящее время мы тестируем исправление и вскоре сообщим клиентам.
Проще говоря, существует короткий период нулевого дня, в течение которого циркулирует рабочий эксплойт, но патч еще не готов.
Как упоминалось ранее в Progress, эта группа так называемых ошибок внедрения команд (когда вы отправляете то, что должно быть безобидными данными, которые позже вызываются как серверная команда) может быть запущена только через веб-портал MOVEit с использованием HTTP или HTTPS. Запросы.
К счастью, это означает, что вам не нужно выключать всю систему MOVEit, а только доступ через Интернет.
Что делать?
Цитата из Progress Software рекомендательный документ от 2023:
Отключите весь HTTP- и HTTP-трафик в вашей среде MOVEit Transfer. Более конкретно:
- Измените правила брандмауэра, чтобы запретить HTTP- и HTTP-трафик для MOVEit Transfer через порты 80 и 443.
- Важно отметить, что до тех пор, пока трафик HTTP и HTTPS снова не будет включен:
- Пользователи не смогут войти в веб-интерфейс MOVEit Transfer.
- Задачи MOVEit Automation, использующие собственный хост MOVEit Transfer, работать не будут.
- REST, Java и .NET API не будут работать.
- Надстройка MOVEit Transfer для Outlook не будет работать.
- Протоколы SFTP и FTP/s будут продолжать работать в обычном режиме.
Следите за третьим патчем в этой саге, и в этот момент мы предполагаем, что Progress даст разрешение на включение доступа в Интернет…
…хотя мы бы посочувствовали, если бы вы решили оставить его выключенным еще какое-то время, просто на всякий случай, на всякий случай.
СОВЕТЫ ДЛЯ ПОИСКА УГРОЗ ДЛЯ КЛИЕНТОВ SOPHOS
- SEO-контент и PR-распределение. Получите усиление сегодня.
- ЭВМ Финанс. Единый интерфейс для децентрализованных финансов. Доступ здесь.
- Квантум Медиа Групп. ИК/PR усиление. Доступ здесь.
- ПлатонАйСтрим. Анализ данных Web3. Расширение знаний. Доступ здесь.
- Источник: https://nakedsecurity.sophos.com/2023/06/15/moveit-mayhem-3-disable-http-and-https-traffic-immediately/
- :имеет
- :является
- :нет
- :куда
- 1
- 15%
- 2023
- 25
- 80
- a
- в состоянии
- О нас
- Absolute
- доступ
- снова
- Все
- уже
- причислены
- альтернатива
- an
- и
- Другой
- API
- Применить
- МЫ
- около
- AS
- связанный
- At
- автор
- автоматический
- автоматизация
- назад
- Фоновое изображение
- основанный
- BE
- было
- до
- Шантаж
- граница
- Дно
- Ломать
- дыхание
- Ошибка
- ошибки
- но
- by
- CAN
- случаев
- Центр
- оборотный
- облако
- код
- цвет
- привержен
- Компания
- Ослабленный
- продолжать
- может
- чехол для варгана
- Преступники
- Крюки
- В настоящее время
- Клиенты
- кибервымогательство
- данным
- База данных
- датированный
- сделка
- решенный
- требующий
- подробнее
- застройщиков
- КОПАТЬ
- Дисплей
- do
- дело
- Dont
- вниз
- в течение
- в другом месте
- Сотрудник
- включен
- конец
- достаточно
- Весь
- Окружающая среда
- средах
- ошибки
- Даже
- объяснены
- Эксплуатировать
- Глаза
- далеко
- доработан
- Найдите
- брандмауэр
- Во-первых,
- недостатки
- следует
- Что касается
- найденный
- от
- шайка
- получить
- Дайте
- Отдаете
- группы
- было
- Жесткий
- Есть
- высота
- Отверстие
- кашель
- состоялся
- зависать
- Как
- How To
- HTTP
- HTTPS
- охота
- if
- немедленно
- важную
- in
- в
- выпустили
- вызывается
- IT
- ЕГО
- жаргон
- Java
- июнь
- всего
- Сохранить
- Знать
- известный
- Фамилия
- новее
- оставил
- легкий
- молния
- журнал
- дольше
- посмотреть
- искать
- производитель
- вредоносных программ
- Маржа
- макс-ширина
- Май..
- означает
- то время
- упомянутый
- может быть
- БОЛЕЕ
- Голая Безопасность
- родной
- Необходимость
- нуждающихся
- сеть
- Новые
- вновь
- нет
- "обычные"
- of
- .
- on
- только
- or
- Другое
- внешний
- Outlook
- выплачен
- часть
- особый
- Пароль
- Патчи
- Пол
- платежи
- Заработная плата
- выполнены
- период
- Часть
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Точка
- Портал
- порты
- должность
- размещены
- Блог
- Продукт
- Программист
- Программирование
- Прогресс
- протоколы
- публично
- публиковать
- опубликованный
- положил
- САЙТ
- вымогателей
- готовый
- относительный
- Запросы
- возвращают
- Показали
- правую
- Комната
- условиями,
- Бег
- сага
- то же
- говорит
- безопасность
- кажется
- Отправить
- отправка
- вскоре
- выключать
- аналогичный
- So
- Software
- твердый
- Кто-то
- конкретно
- SQL
- SQL Injection
- Начало
- украли
- такие
- удивлен
- SVG
- система
- взять
- приняты
- задачи
- команда
- Тестирование
- который
- Ассоциация
- мир
- их
- Их
- следовательно
- они
- В третьих
- сторонние
- этой
- хоть?
- три
- время
- сроки
- Советы
- в
- вместе
- топ
- трафик
- перевод
- переход
- прозрачный
- срабатывает
- ОЧЕРЕДЬ
- Оказалось
- ui
- непокрытый
- до
- Обновление ПО
- убеждая
- URL
- использование
- через
- продавец
- с помощью
- Войти
- Уязвимости
- уязвимость
- предупреждение
- законопроект
- способы
- we
- Web
- Web-Based
- неделя
- Недели
- были
- Что
- когда
- который
- в то время как
- КТО
- чья
- будете
- без
- Работа
- работавший
- работает
- Мир
- бы
- еще
- являетесь
- ВАШЕ
- зефирнет