MOVEit mayhem 3: "Inaktivera HTTP- och HTTPS-trafik omedelbart"

Ännu mer MOVEit-kaos!

"Inaktivera HTTP- och HTTPS-trafik till MOVEit Transfer," säger Progress Software, och tidsramen för att göra det är "omedelbart", inga om, inga men.

Progress Software är tillverkaren av programvara för fildelning MOVEit Transfer, och den värd MOVEit Cloud alternativ som är baserat på det, och detta är dess tredje varning på tre veckor om hackbara sårbarheter i produkten.

I slutet av maj 2023 visade sig cyberutpressningsbrottslingar associerade med Clop ransomware-gänget använda en nolldagars exploatering för att bryta sig in på servrar som kör MOVEit-produktens webbgränssnitt.

Genom att skicka avsiktligt felaktiga SQL-databaskommandon till en MOVEit Transfer-server via dess webbportal, kunde brottslingarna komma åt databastabeller utan att behöva ett lösenord och implantera skadlig programvara som gjorde det möjligt för dem att återvända till komprometterade servrar senare, även om de hade patchas i under tiden.

Angriparna har uppenbarligen stulit troféföretagsdata, såsom uppgifter om anställdas löner, och krävt utpressningsbetalningar i gengäld för att ha "raderat" den stulna informationen.

We förklarade hur man lappar och vad du kan leta efter om skurkarna redan hade besökt dig, i början av juni 2023:

Andra varningen

Den varningen följdes, förra veckan, av en uppdatering från Progress Software.

Medan de undersökte nolldagarshålet som de just hade åtgärdat, upptäckte Progress-utvecklare liknande programmeringsbrister på andra ställen i koden.

Bolaget publicerade därför en ytterligare lapp, och uppmanar kunder att tillämpa den här nya uppdateringen proaktivt, förutsatt att skurkarna (vars nolldagar precis hade gjorts oanvändbara av den första patchen) också ivrigt skulle leta efter andra sätt att komma in igen.

Föga överraskande flockas buggar av en fjäder ofta tillsammans, som vi förklarade i veckans Naked Security podcast:

[2023-06-09 satte Progress ut] ytterligare en patch för att ta itu med liknande buggar som, så vitt de vet, skurkarna inte har hittat ännu (men om de letar tillräckligt noga så kanske de).

Och hur konstigt det än låter, när du upptäcker att en viss del av din programvara har en bugg av ett visst slag, bör du inte bli förvånad om, när du gräver djupare...

...du upptäcker att programmeraren (eller programmeringsteamet som arbetade med det vid den tidpunkt då buggen du redan känner till introducerades) begick liknande fel ungefär samtidigt.

Tredje gången otur

Nåväl, blixten har tydligen precis träffat samma plats för tredje gången i snabb följd.

Den här gången verkar det som om någon utförde vad som är känt i jargongen som en "fullständig avslöjande" (där buggar avslöjas för världen samtidigt som för säljaren, vilket ger säljaren inget andrum för att proaktivt publicera en patch) , eller "släppa en 0-dag".

Framsteg har precis rapporterade:

Idag [2023-06-15] publicerade en tredje part offentligt en ny [SQL-injektion] sårbarhet. Vi har tagit ner HTTPS-trafik för MOVEit Cloud i ljuset av den nyligen publicerade sårbarheten och ber alla MOVEit Transfer-kunder att omedelbart ta ner sin HTTP- och HTTPS-trafik för att skydda sina miljöer medan patchen färdigställs. Vi testar för närvarande patchen och vi kommer att uppdatera kunderna inom kort.

Enkelt uttryckt, det finns en kort nolldagarsperiod under vilken en fungerande exploit cirkulerar, men patchen är inte klar än.

Som Progress har nämnt tidigare kan denna grupp av så kallade kommandoinjektionsbuggar (där du skickar in vad som borde vara ofarlig data som senare anropas som ett serverkommando) endast triggas via MOVEits webbaserade portal, med hjälp av HTTP eller HTTPS förfrågningar.

Lyckligtvis betyder det att du inte behöver stänga av hela ditt MOVEit-system, bara webbaserad åtkomst.

Vad göra?

Citerar från Progress Software rådgivningsdokument daterad 2023-06-15:

Inaktivera all HTTP- och HTTPs-trafik till din MOVEit Transfer-miljö. Mer specifikt:

• Ändra brandväggsregler för att neka HTTP- och HTTP-trafik till MOVEit Transfer på portarna 80 och 443.
• Det är viktigt att notera att tills HTTP- och HTTPS-trafik aktiveras igen:
  • Användare kommer inte att kunna logga in på MOVEit Transfers webbgränssnitt.
  • MOVEit Automation-uppgifter som använder den inbyggda MOVEit Transfer-värden kommer inte att fungera.
  • REST, Java och .NET API kommer inte att fungera.
  • MOVEit Transfer-tillägget för Outlook fungerar inte.
• SFTP- och FTP/s-protokollen kommer att fortsätta att fungera som vanligt

Håll ögonen öppna efter den tredje patchen i denna saga, då vi antar att Progress kommer att ge allt klart för att aktivera webbåtkomst igen...

…fast vi skulle sympatisera om du bestämde dig för att hålla den avstängd ett tag till, bara för att vara säker, för att vara säker.

---

HOTJAKTTIPS FÖR SOPHOS KUNDER

---

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• EVM Finans. Unified Interface for Decentralized Finance. Tillgång här.
• Quantum Media Group. IR/PR förstärkt. Tillgång här.
• PlatoAiStream. Web3 Data Intelligence. Kunskap förstärkt. Tillgång här.
• Källa: https://nakedsecurity.sophos.com/2023/06/15/moveit-mayhem-3-disable-http-and-https-traffic-immediately/