MOVEit Mayhem 3: “Disable HTTP And HTTPS Traffic Immediately”

เผยแพร่ซ้ำโดยเพลโต

ผู้ติดตาม: 0

MOVEit ทำร้ายร่างกายมากขึ้น!

“ปิดการรับส่งข้อมูล HTTP และ HTTPS ไปยัง MOVEit Transfer” Progress Software กล่าว และระยะเวลาในการดำเนินการคือ "โดยทันที", ไม่มี ifs ไม่มี buts

Progress Software เป็นผู้ผลิตซอฟต์แวร์แชร์ไฟล์ MOVEit โอนและเจ้าภาพ MOVEit คลาวด์ ทางเลือกที่อ้างอิงจากมัน และนี่คือคำเตือนครั้งที่สามในรอบสามสัปดาห์เกี่ยวกับช่องโหว่ที่แฮ็กได้ในผลิตภัณฑ์ของมัน

ณ สิ้นเดือนพฤษภาคม 2023 อาชญากรขู่กรรโชกทางไซเบอร์ที่เกี่ยวข้องกับแก๊ง Clop ransomware ถูกพบว่าใช้ช่องโหว่แบบ zero-day เพื่อเจาะเข้าไปในเซิร์ฟเวอร์ที่รันเว็บฟรอนท์เอนด์ของผลิตภัณฑ์ MOVEit

ด้วยการส่งคำสั่งฐานข้อมูล SQL ที่มีรูปแบบไม่ถูกต้องโดยจงใจไปยังเซิร์ฟเวอร์ MOVEit Transfer ผ่านทางเว็บพอร์ทัล อาชญากรสามารถเข้าถึงตารางฐานข้อมูลโดยไม่ต้องใช้รหัสผ่าน และฝังมัลแวร์ที่ช่วยให้พวกเขากลับไปยังเซิร์ฟเวอร์ที่ถูกบุกรุกได้ในภายหลัง แม้ว่าจะได้รับการแก้ไขแล้วก็ตาม ในขณะเดียวกัน

เห็นได้ชัดว่าผู้โจมตีขโมยข้อมูลบริษัทที่ได้รับรางวัล เช่น รายละเอียดบัญชีเงินเดือนพนักงาน และเรียกร้องเงินแบล็กเมล์เป็นการตอบแทนสำหรับการ "ลบ" ข้อมูลที่ถูกขโมย

We อธิบาย วิธีแพตช์และสิ่งที่คุณมองหาได้ในกรณีที่มิจฉาชีพจ่ายเงินให้คุณแล้ว ย้อนกลับไปเมื่อต้นเดือนมิถุนายน 2023:

.s-button+.s-button { ระยะขอบซ้าย: .3125rem; } .s-button { การเปลี่ยนแปลง: ทั้งหมด .15s เชิงเส้น; ขนาดตัวอักษร: .875rem; ความสูงของเส้น: 1.5; สี: #f2f2f2; ตระกูลแบบอักษร: SophosSansMedium, Helvetica Neue, Helvetica, Arial, sans-serif; ตัวอักษร-น้ำหนัก: 400; ตัวอักษรสไตล์: ปกติ; แสดง: บล็อกอินไลน์; ช่องว่างภายใน: .3125rem 1.25rem; เคอร์เซอร์: ตัวชี้; จัดข้อความ: ศูนย์; ตกแต่งข้อความ: ไม่มี; เส้นขอบ: 1px ของแข็ง #005bc8; รัศมีเส้นขอบ: 3px; สีพื้นหลัง: #005bc8; ข้อความเงา: ไม่มี; } .s-button: hover { text-decoration: none; สี: #ffff; ขอบสี: #002d62; สีพื้นหลัง: #002d62; } .s-button–white, .s-button–white:hover { สี: #005bc8 !important; เส้นขอบสี: #fff; สีพื้นหลัง: #fff; } .s-ad-sophos-mdr { ขนาดตัวอักษร: 1rem; ความสูงของเส้น: 1.5; สี: #242629; ตระกูลแบบอักษร: SophosSansRegular, Helvetica Neue, Helvetica, Arial, sans-serif; ตัวอักษร-น้ำหนัก: 400; ตัวอักษรสไตล์: ปกติ; ตำแหน่ง: ญาติ; ความกว้างสูงสุด: 769px; ระยะขอบ: 15px อัตโนมัติ; ช่องว่างภายใน: 30px 30px 25px; การเปลี่ยนแปลง: กล่องเงา .25 วินาที ลูกบาศก์เบซิเยร์ ( .645, .045, .355, 1 ); จัดข้อความ: ศูนย์; สีพื้นหลัง: #0d141d; พื้นหลังซ้ำ: ไม่ซ้ำ; พื้นหลังตำแหน่ง: 50%; ขนาดพื้นหลัง: ปก; กล่องเงา: 0 0 0 0 0 โปร่งใส; สีพื้นหลัง: #005bc8; ภาพพื้นหลัง: ไม่มี; พื้นหลังตำแหน่ง: 0 0; } .s-ad-sophos-mdr__title { ขนาดตัวอักษร: 2rem; ความสูงของบรรทัด: 1.125; ระยะขอบล่าง: 4px; สี: #ffff; } .s-ad-sophos-mdr__text { ตระกูลฟอนต์: SophosSansLight, Helvetica Neue, Helvetica, Arial, sans-serif; ตัวอักษร-น้ำหนัก: 400; ตัวอักษรสไตล์: ปกติ; ขนาดตัวอักษร: 17px; สี: #ffff; } .s-ad-sophos-mdr__action { margin-top: 15px; } .s-ad-sophos-mdr__action .s-button { สี: #fff; } .s-ad-sophos-mdr__link-wrapper { การตกแต่งข้อความ: ไม่มี; } .s-ad-sophos-mdr__link-wrapper:hover .s-ad-sophos-mdr { กล่องเงา: 0 5px 10px 0 rgba (0 0, 0, 15, .15 ); } .s-ad-sophos-mdr__sophos-logo { ตำแหน่ง: สัมบูรณ์; ด้านบน: 15px; ขวา: 64px; } .s-ad-sophos-mdr__sophos-logo-svg { display: inline-block; ความกว้าง: 11px; ความสูง: 64px; แนวตั้งจัด: ด้านบน; พื้นหลังซ้ำ: ไม่ซ้ำ; ขนาดพื้นหลัง: 11px 400px; } .s-ad-sophos-mdr__title { ตระกูลแบบอักษร: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, sans-serif; ตัวอักษร-น้ำหนัก: 28; ตัวอักษรสไตล์: ปกติ; ขนาดตัวอักษร: 700px; ตัวอักษร-น้ำหนัก: 1; ความสูงของเส้น: 10; ระยะขอบล่าง: 100px; text-align: ซ้าย; } .s-ad-sophos-mdr__title svg { ความกว้างสูงสุด: 16%; } .s-ad-sophos-mdr__text { ขนาดตัวอักษร: 1.25px; ความสูงของบรรทัด: 20; text-align: ซ้าย; } .s-ad-sophos-mdr__action { text-align: right; } .s-ad-sophos-mdr .s-button { border-radius: 769px; } @media (min-width:140px) { .s-ad-sophos-mdr__text { margin-right: 30px; } .s-ad-sophos-mdr__action { ตำแหน่ง: สัมบูรณ์; ขวา: 30px; ด้านล่าง: 768px; } } @media (ความกว้างสูงสุด:50px) { .s-ad-sophos-mdr { padding-top: 1.625px; } .s-ad-sophos-mdr__title { ขนาดตัวอักษร: 16rem; } .s-ad-sophos-mdr__text { ขนาดตัวอักษร: 30px; } .s-ad-sophos-mdr { padding-top: XNUMXpx; } }

คำเตือนครั้งที่สอง

คำเตือนนั้นตามมาเมื่อสัปดาห์ที่แล้วโดยการอัปเดตจาก Progress Software

ในขณะที่ตรวจสอบช่องโหว่ Zero-day ที่พวกเขาเพิ่งแพตช์ นักพัฒนาซอฟต์แวร์ของ Progress ได้ค้นพบข้อบกพร่องในการเขียนโปรแกรมที่คล้ายกันในที่อื่นๆ ในโค้ด

บริษัทจึงได้เผยแพร่ก แพทช์เพิ่มเติมกระตุ้นให้ลูกค้าใช้การอัปเดตใหม่นี้ในเชิงรุก โดยสมมติว่าโจร (ซึ่ง Zero-day เพิ่งถูกทำให้ไร้ประโยชน์ในแพตช์แรก) ก็จะมองหาวิธีอื่นในการกลับเข้ามาใหม่เช่นกัน

ไม่น่าแปลกใจเลยที่แมลงขนนกมักจะรวมตัวกันเป็นฝูงดังที่เราได้อธิบายไว้ใน Naked Security ประจำสัปดาห์นี้ พอดคาสต์:

[เมื่อวันที่ 2023-06-09 ความคืบหน้าแจ้ง] แพตช์ใหม่สำหรับจัดการกับบั๊กที่คล้ายกัน ซึ่งเท่าที่ทราบคือยังหาตัวอาชญากรไม่พบ

และฟังดูแปลก เมื่อคุณพบว่าส่วนใดส่วนหนึ่งของซอฟต์แวร์ของคุณมีข้อบกพร่องในลักษณะใดประเภทหนึ่ง คุณไม่ควรแปลกใจหากเมื่อคุณเจาะลึกลงไป...

…คุณพบว่าโปรแกรมเมอร์ (หรือทีมเขียนโปรแกรมที่ทำงานเกี่ยวกับข้อผิดพลาดนั้นในเวลาที่ตรวจพบข้อบกพร่องที่คุณทราบอยู่แล้ว) ได้ทำข้อผิดพลาดที่คล้ายกันในช่วงเวลาเดียวกัน

ครั้งที่สามโชคร้าย

เห็นได้ชัดว่าสายฟ้าฟาดลงที่เดิมเป็นครั้งที่สามติดต่อกันอย่างรวดเร็ว

ครั้งนี้ ดูเหมือนว่ามีใครบางคนทำสิ่งที่เรียกว่า "การเปิดเผยข้อมูลทั้งหมด" (โดยที่บั๊กจะถูกเปิดเผยไปทั่วโลกพร้อมๆ หรือ "ลด 0 วัน"

ความคืบหน้ามีเพียง รายงาน:

วันนี้ [2023-06-15] บุคคลที่สามโพสต์ช่องโหว่ใหม่ [SQL injection] ต่อสาธารณะ เราได้ระงับการรับส่งข้อมูล HTTPS สำหรับ MOVEit Cloud เนื่องจากช่องโหว่ที่เผยแพร่ใหม่ และกำลังขอให้ลูกค้า MOVEit Transfer ทั้งหมดยุติการรับส่งข้อมูล HTTP และ HTTPS ทันที เพื่อปกป้องสภาพแวดล้อมของตนในขณะที่แพทช์เสร็จสิ้น ขณะนี้เรากำลังทดสอบแพตช์และเราจะอัปเดตให้ลูกค้าทราบในไม่ช้า

พูดง่ายๆ คือมีช่วง Zero-day สั้นๆ ในระหว่างที่การแสวงประโยชน์กำลังแพร่ระบาด แต่แพตช์ยังไม่พร้อม

ดังที่ Progress ได้กล่าวถึงก่อนหน้านี้ กลุ่มของข้อผิดพลาดในการฉีดคำสั่ง (ซึ่งคุณส่งข้อมูลที่ควรจะเป็นข้อมูลที่ไม่เป็นอันตรายซึ่งต่อมาถูกเรียกใช้เป็นคำสั่งเซิร์ฟเวอร์) สามารถถูกกระตุ้นได้ผ่านทางพอร์ทัลบนเว็บของ MOVEit เท่านั้น โดยใช้ HTTP หรือ HTTPS คำขอ

โชคดีที่นั่นหมายความว่าคุณไม่จำเป็นต้องปิดระบบ MOVEit ทั้งหมด เฉพาะการเข้าถึงผ่านเว็บเท่านั้น

จะทำอย่างไร?

อ้างอิงจาก Progress Software's เอกสารคำแนะนำ วันที่ 2023-06-15:

ปิดการใช้งาน HTTP และ HTTPs ทั้งหมดในสภาพแวดล้อม MOVEit Transfer ของคุณ โดยเฉพาะอย่างยิ่ง:

แก้ไขกฎไฟร์วอลล์เพื่อปฏิเสธการรับส่งข้อมูล HTTP และ HTTPs ไปยัง MOVEit Transfer บนพอร์ต 80 และ 443
โปรดทราบว่าจนกว่าจะเปิดใช้งานทราฟฟิก HTTP และ HTTPS อีกครั้ง:
- ผู้ใช้จะไม่สามารถเข้าสู่ระบบ MOVEit Transfer web UI ได้
- งาน MOVEit Automation ที่ใช้โฮสต์ MOVEit Transfer ดั้งเดิมจะไม่ทำงาน
- REST, Java และ .NET API จะไม่ทำงาน
- MOVEit Transfer add-in สำหรับ Outlook จะไม่ทำงาน
โปรโตคอล SFTP และ FTP/s จะยังคงทำงานได้ตามปกติ

จับตาดูแพตช์ที่สามในเทพนิยายนี้ ซึ่ง ณ จุดนี้เราคิดว่าความคืบหน้าจะทำให้การเข้าถึงเว็บกลับมาเหมือนเดิม...

…แม้ว่าเราจะเห็นใจหากคุณตัดสินใจที่จะเลิกใช้มันต่อไปอีกสักระยะหนึ่ง แต่เพื่อความแน่ใจ เพื่อความแน่ใจ

เคล็ดลับการล่าภัยคุกคามสำหรับลูกค้า SOPHOS

เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
การเงิน EVM ส่วนต่อประสานแบบครบวงจรสำหรับการเงินแบบกระจายอำนาจ เข้าถึงได้ที่นี่.
กลุ่มสื่อควอนตัม IR/PR ขยาย เข้าถึงได้ที่นี่.
เพลโตไอสตรีม. ข้อมูลอัจฉริยะ Web3 ขยายความรู้ เข้าถึงได้ที่นี่.
ที่มา: https://nakedsecurity.sophos.com/2023/06/15/moveit-mayhem-3-disable-http-and-https-traffic-immediately/

ประทับเวลา: มิถุนายน 15, 2023

ประทับเวลา: มิถุนายน 20, 2023

MOVEit Mayhem 3: “ปิดการใช้งาน HTTP และ HTTPS ทันที”

เผยแพร่ซ้ำโดยเพลโต

คำเตือนครั้งที่สอง

ครั้งที่สามโชคร้าย

จะทำอย่างไร?

เพิ่มเติมจาก ความปลอดภัยเปล่า

OpenSSH แก้ไขข้อผิดพลาดหน่วยความจำว่างสองเท่าที่สามารถใช้งานผ่านเครือข่ายได้

หมายเลขเก้า! Chrome แก้ไข Zero-day อีก 2022 Edge ยังไม่แพตช์

Chrome แก้ไขช่องโหว่ความปลอดภัย 0 วันที่รายงานโดยไม่ระบุชื่อ – อัปเดตทันที!

Sebastian Greenwood นักต้มตุ๋น OneCoin สารภาพว่า “Cryptoqueen” ยังคงหายไป

Belkin Wemo Smart Plug V2 – บัฟเฟอร์โอเวอร์โฟลว์ที่ไม่ได้รับการแก้ไข

เกี่ยวกับเรา

การค้นหาแนวตั้ง & Ai

ระบบปฏิบัติการ

การติดต่อ

ลงชื่อเข้าใช้