MOVEit 混乱 3:“立即禁用 HTTP 和 HTTPS 流量”

MOVEit 混乱 3:“立即禁用 HTTP 和 HTTPS 流量”

时间戳:15年2023月6日下午10:XNUMX
源节点: 2726151
by 保罗哈普林

还有更多 MOVEit 混乱!

“禁用 MOVEit Transfer 的 HTTP 和 HTTPS 流量,” Progress Software 表示,这样做的时间表是 “立即地”, 没有如果,没有但是。

Progress Software 是文件共享软件的制造商 MOVEit 转移, 和托管 移动云 基于它的替代方案,这是三周内第三次警告其产品中存在可破解的漏洞。

2023 年 XNUMX 月底,与 Clop 勒索软件团伙相关的网络勒索犯罪分子被发现使用零日漏洞入侵运行 MOVEit 产品 Web 前端的服务器。

通过其门户网站向 MOVEit Transfer 服务器发送故意格式错误的 SQL 数据库命令,犯罪分子无需密码即可访问数据库表,并植入恶意软件,使他们能够在以后返回到受感染的服务器,即使这些服务器已在与此同时。

攻击者显然一直在窃取公司的重要数据,例如员工工资单详细信息,并要求勒索付款作为“删除”被盗数据的回报。

We 解释 如何打补丁,以及如果骗子在 2023 年 XNUMX 月初已经拜访过您,您可以寻找什么:

第二次警告

继该警告之后,上周 Progress Software 进行了更新。

在调查他们刚刚修补的零日漏洞时,Progress 开发人员在代码的其他地方发现了类似的编程缺陷。

该公司因此发布了一份 进一步补丁,敦促客户主动应用这个新更新,假设骗子(他们的零日漏洞刚刚被第一个补丁变得无用)也会热切地寻找其他方法重新进入。

正如我们在本周的赤裸安全中解释的那样,毫不奇怪,羽毛虫经常聚集在一起 播客:

[在 2023 年 06 月 09 日,Progress 发布了] 另一个补丁来处理类似的错误,据他们所知,骗子还没有发现这些错误(但如果他们足够努力,他们可能会发现)。

而且,听起来很奇怪,当您发现软件的特定部分存在特定类型的错误时,您不应该感到惊讶,如果您深入挖掘......

……你发现程序员(或在你已经知道的错误被引入时从事它的编程团队)大约在同一时间犯了类似的错误。

第三次不走运

好吧,闪电显然已经连续第三次击中同一个地方。

这一次,似乎有人进行了行话中所谓的“全面披露”(在向供应商披露漏洞的同时向全世界披露漏洞,从而让供应商没有喘息的余地主动发布补丁) ,或“删除一个 0-day”。

进步刚刚 报道:

今天[2023-06-15],第三方公开发布了一个新的[SQL注入]漏洞。 鉴于新发布的漏洞,我们已经降低了 MOVEit Cloud 的 HTTPS 流量,并要求所有 MOVEit Transfer 客户在补丁完成时立即降低他们的 HTTP 和 HTTPS 流量以保护他们的环境。 我们目前正在测试补丁,我们会尽快更新客户。

简而言之,存在一个短暂的零日期间,在此期间有效的漏洞正在传播,但补丁尚未准备就绪。

正如 Progress 之前提到的,这组所谓的命令注入错误(您发送的应该是无害的数据,稍后会作为服务器命令调用)只能通过 MOVEit 基于 Web 的门户使用 HTTP 或 HTTPS 触发要求。

幸运的是,这意味着您无需关闭整个 MOVEit 系统,只需关闭基于 Web 的访问即可。

怎么办呢?

引用自 Progress Software 的 咨询文件 日期为 2023-06-15:


禁用到您的 MOVEit Transfer 环境的所有 HTTP 和 HTTPs 流量。 进一步来说:

  • 修改防火墙规则以拒绝端口 80 和 443 上的 MOVEit Transfer 的 HTTP 和 HTTPs 流量。
  • 请务必注意,在再次启用 HTTP 和 HTTPS 流量之前:
    • 用户将无法登录到 MOVEit Transfer 网络用户界面。
    • 使用本机 MOVEit Transfer 主机的 MOVEit Automation 任务将无法运行。
    • REST、Java 和 .NET API 将不起作用。
    • 用于 Outlook 的 MOVEit Transfer 加载项将无法运行。
  • SFTP 和 FTP/s 协议将继续正常工作

请密切注意这个传奇中的第三个补丁,届时我们假设 Progress 将解除一切障碍,重新开启网络访问……

......尽管如果您决定将其关闭一段时间,我们会表示同情,只是为了确定,为了确定。

SOPHOS 客户的威胁搜寻技巧

时间戳记:

更多来自 裸体安全