MOVEit تباہی 3: "HTTP اور HTTPS ٹریفک کو فوری طور پر غیر فعال کریں"

ابھی تک مزید MOVEit تباہی!

"MOVEit ٹرانسفر کے لیے HTTP اور HTTPS ٹریفک کو غیر فعال کریں،" پروگریس سافٹ ویئر کا کہنا ہے، اور ایسا کرنے کا ٹائم فریم ہے۔ "فوری طور پر"، کوئی ifs، نہیں buts.

پروگریس سافٹ ویئر فائل شیئرنگ سافٹ ویئر بنانے والا ہے۔ منتقلی منتقل کریں۔، اور میزبان موو ایٹ کلاؤڈ متبادل جو اس پر مبنی ہے، اور یہ اس کی مصنوعات میں ہیک ایبل خطرات کے بارے میں تین ہفتوں میں تیسری وارننگ ہے۔

مئی 2023 کے آخر میں، Clop ransomware گینگ سے وابستہ سائبر بھتہ خوری کے مجرم MOVEit پروڈکٹ کے ویب فرنٹ اینڈ کو چلانے والے سرورز کو توڑنے کے لیے صفر دن کے استحصال کا استعمال کرتے ہوئے پائے گئے۔

اپنے ویب پورٹل کے ذریعے MOVEit ٹرانسفر سرور کو جان بوجھ کر خراب شدہ SQL ڈیٹا بیس کمانڈز بھیج کر، مجرم بغیر پاس ورڈ کے ڈیٹا بیس ٹیبلز تک رسائی حاصل کر سکتے ہیں، اور میلویئر کو امپلانٹ کر سکتے ہیں جس کی وجہ سے وہ بعد میں کمپرومائزڈ سرورز پر واپس جا سکتے ہیں، یہاں تک کہ اگر ان پر پیچ کیا گیا ہو۔ اس دوران

حملہ آور بظاہر ٹرافی کمپنی کا ڈیٹا چوری کر رہے ہیں، جیسے کہ ملازمین کے پے رول کی تفصیلات، اور چوری شدہ ڈیٹا کو "ڈیلیٹ" کرنے کے بدلے بلیک میل کی ادائیگی کا مطالبہ کر رہے ہیں۔

We وضاحت کی پیوند کیسے کریں، اور اگر آپ بدمعاشوں نے جون 2023 کے آغاز میں پہلے ہی آپ سے ملاقات کی تھی تو آپ کیا تلاش کر سکتے ہیں:

دوسری وارننگ

اس انتباہ کی پیروی، پچھلے ہفتے، پروگریس سافٹ ویئر کی جانب سے ایک اپ ڈیٹ کے ذریعے کی گئی۔

زیرو ڈے ہول کی چھان بین کرتے ہوئے جسے انہوں نے ابھی پیچ کیا تھا، پروگریس ڈویلپرز نے کوڈ میں کہیں اور پروگرامنگ کی اسی طرح کی خامیوں کا پردہ فاش کیا۔

اس لیے کمپنی نے ایک شائع کیا۔ مزید پیچ، صارفین سے اس نئی اپ ڈیٹ کو فعال طور پر لاگو کرنے کی تاکید کرتے ہوئے، یہ فرض کرتے ہوئے کہ بدمعاش (جن کا صفر دن ابھی پہلے پیچ سے بیکار ہو گیا تھا) بھی واپس آنے کے دوسرے طریقے تلاش کر رہے ہوں گے۔

حیرت کی بات نہیں، پنکھوں کے کیڑے اکثر اکٹھے ہوتے ہیں، جیسا کہ ہم نے اس ہفتے کی ننگی سیکیورٹی میں وضاحت کی ہے۔ podcast:

[2023-06-09، پروگریس پوٹ] اسی طرح کے کیڑوں سے نمٹنے کے لیے ایک اور پیچ نکالا، جہاں تک وہ جانتے ہیں، بدمعاشوں کو ابھی تک نہیں ملا ہے (لیکن اگر وہ کافی سخت نظر آتے ہیں تو ہو سکتا ہے)۔

اور، جتنا عجیب لگتا ہے، جب آپ کو معلوم ہوتا ہے کہ آپ کے سافٹ ویئر کے کسی خاص حصے میں ایک خاص قسم کا بگ ہے، تو آپ کو حیران نہیں ہونا چاہیے، جب آپ گہری کھدائی کرتے ہیں…

…آپ کو معلوم ہوتا ہے کہ پروگرامر (یا پروگرامنگ ٹیم جس نے اس وقت اس پر کام کیا تھا جس کے بارے میں آپ پہلے سے جانتے ہیں کہ بگ متعارف ہو چکا ہے) نے اسی وقت میں اسی طرح کی غلطیاں کیں۔

تیسری بار بدقسمت

ٹھیک ہے، بجلی بظاہر تیزی سے مسلسل تیسری بار اسی جگہ سے ٹکرائی ہے۔

اس بار، ایسا لگتا ہے کہ جیسے کسی نے وہ پرفارم کیا ہے جسے جرگون میں ایک "مکمل انکشاف" کے طور پر جانا جاتا ہے (جہاں بیچنے والے کے ساتھ ہی دنیا کے سامنے کیڑے ظاہر ہوتے ہیں، اس طرح وینڈر کو پیچ کو فعال طور پر شائع کرنے کے لیے کوئی سانس لینے کی جگہ نہیں ملتی ہے) ، یا "ایک 0 دن چھوڑنا"۔

ترقی صرف ہوئی ہے۔ رپورٹ کے مطابق:

آج [2023-06-15]، فریق ثالث نے عوامی طور پر ایک نیا [SQL انجیکشن] کمزوری پوسٹ کیا۔ ہم نے نئے شائع ہونے والے خطرے کی روشنی میں MOVEit Cloud کے لیے HTTPS ٹریفک کو کم کر دیا ہے اور تمام MOVEit ٹرانسفر صارفین سے کہہ رہے ہیں کہ وہ اپنے HTTP اور HTTPS ٹریفک کو فوری طور پر ہٹا دیں تاکہ پیچ کو حتمی شکل دی جا سکے۔ ہم فی الحال پیچ کی جانچ کر رہے ہیں اور ہم جلد ہی صارفین کو اپ ڈیٹ کریں گے۔

سیدھے الفاظ میں، ایک مختصر صفر دن کی مدت ہے جس کے دوران ایک کام کرنے والا استحصال گردش کر رہا ہے، لیکن پیچ ابھی تک تیار نہیں ہے۔

جیسا کہ پروگریس نے پہلے ذکر کیا ہے، نام نہاد کمانڈ انجیکشن بگز کا یہ گروپ (جہاں آپ بھیجتے ہیں کہ کیا بے ضرر ڈیٹا ہونا چاہیے جسے بعد میں سرور کمانڈ کے طور پر استعمال کیا جاتا ہے) صرف MOVEit کے ویب پر مبنی پورٹل کے ذریعے، HTTP یا HTTPS کا استعمال کرتے ہوئے متحرک کیا جا سکتا ہے۔ درخواستیں

خوش قسمتی سے، اس کا مطلب ہے کہ آپ کو اپنے پورے MOVEit سسٹم کو بند کرنے کی ضرورت نہیں ہے، صرف ویب پر مبنی رسائی۔

کیا کیا جائے؟

پروگریس سافٹ ویئر کے حوالے سے مشورہ دستاویز مورخہ 2023-06-15:

اپنے MOVEit ٹرانسفر ماحول میں تمام HTTP اور HTTPs ٹریفک کو غیر فعال کریں۔ مزید خاص طور پر:

• پورٹ 80 اور 443 پر MOVEit ٹرانسفر کے لیے HTTP اور HTTPs ٹریفک کو روکنے کے لیے فائر وال کے قوانین میں ترمیم کریں۔
• یہ نوٹ کرنا ضروری ہے کہ جب تک HTTP اور HTTPS ٹریفک دوبارہ فعال نہ ہو جائے:
  • صارفین MOVEit Transfer ویب UI پر لاگ ان نہیں ہو سکیں گے۔
  • MOVEit آٹومیشن کے کام جو مقامی MOVEit ٹرانسفر ہوسٹ کا استعمال کرتے ہیں کام نہیں کریں گے۔
  • REST، Java اور .NET API کام نہیں کریں گے۔
  • آؤٹ لک کے لیے MOVEit ٹرانسفر ایڈ ان کام نہیں کرے گا۔
• SFTP اور FTP/s پروٹوکول معمول کے مطابق کام کرتے رہیں گے۔

اس کہانی کے تیسرے پیچ کے لیے اپنی نگاہیں باہر رکھیں، اس موقع پر ہم فرض کرتے ہیں کہ پیشرفت ویب تک رسائی کو دوبارہ آن کرنے کے لیے بالکل واضح کر دے گی…

…حالانکہ ہمیں ہمدردی ہو گی اگر آپ نے فیصلہ کیا ہے کہ اسے کچھ دیر کے لیے بند رکھا جائے، بس یقین کرنے کے لیے، یقین کرنے کے لیے۔

---

سوفوس کے صارفین کے لیے خطرے کے شکار کی تجاویز

---

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• ای وی ایم فنانس۔ وکندریقرت مالیات کے لیے متحد انٹرفیس۔ یہاں تک رسائی حاصل کریں۔
• کوانٹم میڈیا گروپ۔ آئی آر/پی آر ایمپلیفائیڈ۔ یہاں تک رسائی حاصل کریں۔
• پلیٹوآئ اسٹریم۔ ویب 3 ڈیٹا انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://nakedsecurity.sophos.com/2023/06/15/moveit-mayhem-3-disable-http-and-https-traffic-immediately/