MOVEit Mayhem 3: «Немедленно отключите трафик HTTP и HTTPS»

Еще больше MOVEit хаоса!

«Отключите трафик HTTP и HTTPS для MOVEit Transfer», говорит Progress Software, и сроки для этого "немедленно", никаких если, никаких но.

Progress Software — производитель программного обеспечения для обмена файлами. MOVEit Трансфер, и размещенный Облако MOVEit основанную на нем альтернативу, и это уже третье предупреждение за три недели об уязвимостях в продукте, которые можно взломать.

В конце мая 2023 года было обнаружено, что преступники, занимающиеся кибервымогательством, связанные с бандой вымогателей Clop, используют эксплойт нулевого дня для взлома серверов, на которых работает веб-интерфейс продукта MOVEit.

Отправляя преднамеренно искаженные команды базы данных SQL на сервер MOVEit Transfer через его веб-портал, преступники могли получить доступ к таблицам базы данных без необходимости ввода пароля и внедрить вредоносное ПО, которое позволило им позже вернуться на скомпрометированные серверы, даже если они были исправлены. тем временем.

Злоумышленники, по-видимому, воровали трофейные данные компании, такие как данные о заработной плате сотрудников, и требовали шантажирующих платежей в обмен на «удаление» украденных данных.

We объяснены как исправить, и что вы можете искать, если мошенники уже нанесли вам визит еще в начале июня 2023 года:

Второе предупреждение

За этим предупреждением на прошлой неделе последовало обновление от Progress Software.

Исследуя дыру нулевого дня, которую они только что залатали, разработчики Progress обнаружили аналогичные программные недостатки в других частях кода.

Поэтому компания опубликовала дальнейший патч, призывая клиентов применять это новое обновление заблаговременно, предполагая, что мошенники (чей нулевой день только что стал бесполезным с первым патчем) также будут активно искать другие способы вернуться.

Неудивительно, что жуки из пера часто собираются вместе, как мы объяснили в статье «Голая безопасность» на этой неделе. Подкаст:

[2023 Progress выложил] еще один патч для устранения подобных ошибок, которые, насколько им известно, мошенники еще не нашли (но если поискать достаточно внимательно, то могут).

И, как бы странно это ни звучало, когда вы обнаружите, что в определенной части вашего программного обеспечения есть ошибка определенного типа, вы не должны удивляться, если, копнув глубже…

… вы обнаружите, что программист (или команда программистов, которые работали над ним в то время, когда появилась ошибка, о которой вы уже знаете) совершили аналогичные ошибки примерно в одно и то же время.

В третий раз не повезло

Что ж, молния, видимо, только что ударила в одно и то же место в третий раз подряд.

На этот раз кажется, что кто-то выполнил то, что на жаргоне известно как «полное раскрытие информации» (где ошибки раскрываются миру одновременно с поставщиком, что не дает поставщику передышки для активной публикации исправления). или «отбрасывание нулевого дня».

Прогресс только что переправу:

Сегодня [2023 июня 06 г.] сторонняя организация опубликовала в открытом доступе новую уязвимость [внедрение SQL]. Мы отключили HTTPS-трафик для MOVEit Cloud в связи с недавно опубликованной уязвимостью и просим всех клиентов MOVEit Transfer немедленно отключить HTTP- и HTTPS-трафик для защиты своих сред, пока работа над исправлением будет завершена. В настоящее время мы тестируем исправление и вскоре сообщим клиентам.

Проще говоря, существует короткий период нулевого дня, в течение которого циркулирует рабочий эксплойт, но патч еще не готов.

Как упоминалось ранее в Progress, эта группа так называемых ошибок внедрения команд (когда вы отправляете то, что должно быть безобидными данными, которые позже вызываются как серверная команда) может быть запущена только через веб-портал MOVEit с использованием HTTP или HTTPS. Запросы.

К счастью, это означает, что вам не нужно выключать всю систему MOVEit, а только доступ через Интернет.

Что делать?

Цитата из Progress Software рекомендательный документ от 2023:

Отключите весь HTTP- и HTTP-трафик в вашей среде MOVEit Transfer. Более конкретно:

• Измените правила брандмауэра, чтобы запретить HTTP- и HTTP-трафик для MOVEit Transfer через порты 80 и 443.
• Важно отметить, что до тех пор, пока трафик HTTP и HTTPS снова не будет включен:
  • Пользователи не смогут войти в веб-интерфейс MOVEit Transfer.
  • Задачи MOVEit Automation, использующие собственный хост MOVEit Transfer, работать не будут.
  • REST, Java и .NET API не будут работать.
  • Надстройка MOVEit Transfer для Outlook не будет работать.
• Протоколы SFTP и FTP/s будут продолжать работать в обычном режиме.

Следите за третьим патчем в этой саге, и в этот момент мы предполагаем, что Progress даст разрешение на включение доступа в Интернет…

…хотя мы бы посочувствовали, если бы вы решили оставить его выключенным еще какое-то время, просто на всякий случай, на всякий случай.

---

СОВЕТЫ ДЛЯ ПОИСКА УГРОЗ ДЛЯ КЛИЕНТОВ SOPHOS

---

• SEO-контент и PR-распределение. Получите усиление сегодня.
• ЭВМ Финанс. Единый интерфейс для децентрализованных финансов. Доступ здесь.
• Квантум Медиа Групп. ИК/PR усиление. Доступ здесь.
• ПлатонАйСтрим. Анализ данных Web3. Расширение знаний. Доступ здесь.
• Источник: https://nakedsecurity.sophos.com/2023/06/15/moveit-mayhem-3-disable-http-and-https-traffic-immediately/