MOVEit mayhem 3: «Негайно вимкніть трафік HTTP і HTTPS»

Ще більше MOVEit хаосу!

«Вимкнути трафік HTTP та HTTPS для MOVEit Transfer» каже Progress Software, а часові рамки для цього «негайно», немає якщо, немає але.

Progress Software є виробником програмного забезпечення для обміну файлами Передача MOVEit, і розміщений MOVEit Cloud альтернатива, яка базується на ньому, і це його третє попередження за три тижні про хакерські вразливості в його продукті.

Наприкінці травня 2023 року було виявлено, що зловмисники-кібервимагачі, пов’язані з бандою програм-вимагачів Clop, використовували експлойт нульового дня для злому серверів, на яких запущено веб-інтерфейс продукту MOVEit.

Надсилаючи навмисно неправильно сформовані команди бази даних SQL на сервер MOVEit Transfer через його веб-портал, зловмисники могли отримати доступ до таблиць бази даних, не потребуючи пароля, і імплантувати зловмисне програмне забезпечення, яке дозволяло їм повернутися на скомпрометовані сервери пізніше, навіть якщо вони були виправлені. тим часом.

Очевидно, зловмисники викрадали дані трофейної компанії, такі як відомості про заробітну плату співробітників, і вимагали шантажу в обмін на «видалення» вкрадених даних.

We пояснені як виправляти та що ви можете шукати, якщо шахраї вже навідалися до вас на початку червня 2023 року:

Друге попередження

Після цього попередження минулого тижня з’явилося оновлення від Progress Software.

Досліджуючи діру нульового дня, яку вони щойно залатали, розробники Progress виявили подібні недоліки програмування в інших частинах коду.

Тому компанія опублікувала a подальший патч, закликаючи клієнтів застосовувати це нове оновлення проактивно, припускаючи, що шахраї (чий нульовий день щойно став марним першим патчем) також завзято шукатимуть інші способи повернутися.

Не дивно, що жуки пір’я часто збираються разом, як ми пояснювали цього тижня в Naked Security Подкаст:

[2023-06-09, Progress put] ще один патч для усунення подібних помилок, які, наскільки їм відомо, шахраї ще не знайшли (але якщо вони досить старанно пошукають, вони можуть).

І, як би дивно це не звучало, коли ви виявляєте, що певна частина вашого програмного забезпечення містить помилку певного типу, ви не повинні дивуватися, якщо копнувши глибше...

…ви виявляєте, що програміст (або команда програмістів, яка працювала над цим у той час, коли виникла помилка, про яку ви вже знаєте), припустився подібних помилок приблизно в той самий час.

Третій раз не пощастило

Ну, очевидно, блискавка вдарила в те саме місце втретє поспіль.

Цього разу здається, ніби хтось виконав те, що на жаргоні називається «повним розкриттям» (де помилки відкриваються світові одночасно з постачальником, таким чином не даючи постачальнику можливості завчасно опублікувати виправлення). , або «скидання 0-дня».

Прогрес тільки що повідомляє:

Сьогодні [2023-06-15] третя сторона публічно опублікувала нову вразливість [SQL injection]. Ми вимкнули трафік HTTPS для MOVEit Cloud у світлі нещодавно опублікованої вразливості та просимо всіх клієнтів MOVEit Transfer негайно вимкнути свій трафік HTTP та HTTPS, щоб захистити своє середовище, доки завершується виправлення. Зараз ми тестуємо патч і незабаром оновимо клієнтів.

Простіше кажучи, є короткий період нульового дня, протягом якого циркулює робочий експлойт, але патч ще не готовий.

Як уже згадував Progress, ця група так званих помилок ін’єкції команд (де ви надсилаєте нешкідливі дані, які пізніше викликаються як команди сервера) може бути викликана лише через веб-портал MOVEit за допомогою HTTP або HTTPS запити.

На щастя, це означає, що вам не потрібно вимикати всю систему MOVEit, а лише веб-доступ.

Що ж робити?

Цитата з Progress Software консультаційний документ від 2023-06-15:

Вимкніть увесь трафік HTTP та HTTPs до середовища MOVEit Transfer. Більш конкретно:

• Змініть правила брандмауера, щоб заборонити трафік HTTP і HTTPs для MOVEit Transfer на портах 80 і 443.
• Важливо зауважити, що доки трафік HTTP та HTTPS не буде знову ввімкнено:
  • Користувачі не зможуть увійти до веб-інтерфейсу MOVEit Transfer.
  • Завдання MOVEit Automation, які використовують власний хост MOVEit Transfer, не працюватимуть.
  • REST, Java і .NET API не працюватимуть.
  • Надбудова MOVEit Transfer для Outlook не працюватиме.
• Протоколи SFTP і FTP/s працюватимуть у звичайному режимі

Слідкуйте за третім патчем у цій сазі, і ми припускаємо, що в цей момент Progress дасть дозвіл на відновлення доступу до Інтернету…

…хоча ми будемо співчувати, якщо ви вирішите залишити це вимкнутим ще деякий час, щоб бути впевненим, щоб бути впевненим.

---

ПОРАДИ ДЛЯ КЛІЄНТІВ SOPHOS ЩОДО ПОЛЮВАННЯ ЗА ЗАГРОЗАМИ

---

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• EVM Фінанси. Уніфікований інтерфейс для децентралізованих фінансів. Доступ тут.
• Quantum Media Group. ІЧ/ПР посилений. Доступ тут.
• PlatoAiStream. Web3 Data Intelligence. Розширення знань. Доступ тут.
• джерело: https://nakedsecurity.sophos.com/2023/06/15/moveit-mayhem-3-disable-http-and-https-traffic-immediately/