Ακόμα περισσότερο MOVEit χάος!
"Απενεργοποίηση της κυκλοφορίας HTTP και HTTPS στο MOVEit Transfer," λέει το Progress Software, και το χρονοδιάγραμμα για να γίνει αυτό είναι "αμέσως", όχι αν, όχι αλλά,
Η Progress Software είναι ο κατασκευαστής λογισμικού κοινής χρήσης αρχείων Μεταφορά MOVEit, και οι φιλοξενούμενοι MOVEit Cloud εναλλακτική λύση που βασίζεται σε αυτήν, και αυτή είναι η τρίτη προειδοποίηση μέσα σε τρεις εβδομάδες σχετικά με ευπάθειες που μπορούν να παραβιαστούν στο προϊόν της.
Στα τέλη Μαΐου 2023, εγκληματίες κυβερνοεκβιασμού που σχετίζονται με τη συμμορία ransomware Clop διαπιστώθηκε ότι χρησιμοποιούσαν ένα exploit zero-day για να εισβάλουν σε διακομιστές που εκτελούσαν το web front-end του προϊόντος MOVEit.
Στέλνοντας εσκεμμένα λανθασμένες εντολές βάσης δεδομένων SQL σε έναν διακομιστή MOVEit Tranfer μέσω της διαδικτυακής πύλης του, οι εγκληματίες μπορούσαν να έχουν πρόσβαση σε πίνακες βάσης δεδομένων χωρίς να χρειάζονται κωδικό πρόσβασης και να εμφυτεύσουν κακόβουλο λογισμικό που τους επέτρεπε να επιστρέψουν σε παραβιασμένους διακομιστές αργότερα, ακόμη και αν είχαν επιδιορθωθεί το ενδιάμεσο.
We εξήγησε πώς να επιδιορθώσετε και τι θα μπορούσατε να αναζητήσετε σε περίπτωση που οι απατεώνες σας είχαν ήδη επισκεφθεί, στις αρχές Ιουνίου 2023:
Οι επιτιθέμενοι προφανώς έκλεβαν δεδομένα τρόπαιας εταιρείας, όπως στοιχεία μισθοδοσίας εργαζομένων, και απαιτούσαν πληρωμές εκβιασμού σε αντάλλαγμα για «διαγραφή» των κλεμμένων δεδομένων.
Δεύτερη προειδοποίηση
Αυτή η προειδοποίηση ακολούθησε, την περασμένη εβδομάδα, μια ενημέρωση από το Progress Software που έλεγε ότι, ενώ ερευνούσαν την τρύπα zero-day που είχαν ήδη διορθώσει, βρήκαν παρόμοια ελαττώματα προγραμματισμού σε άλλα σημεία του κώδικα.
Η εταιρεία λοιπόν δημοσίευσε α περαιτέρω έμπλαστρο, παροτρύνοντας τους πελάτες να εφαρμόσουν αυτές τις νέες διορθώσεις προληπτικά, υποθέτοντας ότι οι απατεώνες (των οποίων η μηδενική ημέρα είχε μόλις αχρηστευτεί από την πρώτη ενημέρωση κώδικα) θα αναζητούσαν επίσης ένθερμα άλλους τρόπους για να επιστρέψουν.
Περισσότερα μετριασμούς MOVEit: δημοσιεύονται νέες ενημερώσεις κώδικα για περαιτέρω προστασία
Δεν αποτελεί έκπληξη, τα ζωύφια ενός φτερού συχνά συρρέουν μαζί, όπως εξηγήσαμε στο Naked Security αυτής της εβδομάδας το podcast:
[Στις 2023-06-09, η Progress έβαλε] άλλο ένα έμπλαστρο για την αντιμετώπιση παρόμοιων σφαλμάτων που, από όσο γνωρίζουν, οι απατεώνες δεν έχουν βρει ακόμα (αλλά αν έψαχναν αρκετά σκληρά, θα μπορούσαν).
Και, όσο περίεργο κι αν ακούγεται αυτό, όταν διαπιστώνετε ότι ένα συγκεκριμένο μέρος του λογισμικού σας έχει ένα συγκεκριμένο είδος σφάλματος, δεν θα πρέπει να εκπλαγείτε αν, όταν σκάψετε βαθύτερα…
…βρίσκετε ότι ο προγραμματιστής (ή η ομάδα προγραμματισμού που εργάστηκε σε αυτό τη στιγμή που παρουσιάστηκε το σφάλμα για το οποίο ήδη γνωρίζετε) διέπραξε παρόμοια σφάλματα την ίδια στιγμή.
S3 Ep139: Οι κανόνες κωδικού πρόσβασης είναι σαν το τρέξιμο μέσα στη βροχή;
Τρίτη φορά άτυχος
Λοιπόν, ο κεραυνός προφανώς μόλις χτύπησε το ίδιο μέρος για τρίτη φορά διαδοχικά.
Αυτή τη φορά, φαίνεται ότι κάποιος εκτέλεσε αυτό που είναι γνωστό στην ορολογία ως "πλήρης αποκάλυψη" (όπου τα σφάλματα αποκαλύπτονται στον κόσμο ταυτόχρονα με τον πωλητή, δίνοντας έτσι στον πωλητή κανένα περιθώριο για να δημοσιεύσει προληπτικά μια ενημέρωση κώδικα) , ή "ρίψη 0-ημέρας".
Η πρόοδος μόλις αναφερθεί:
Σήμερα [2023-06-15], ένα τρίτο μέρος δημοσίευσε δημόσια μια νέα ευπάθεια [SQL injection]. Μειώσαμε την επισκεψιμότητα HTTPS για το MOVEit Cloud ενόψει της πρόσφατα δημοσιευμένης ευπάθειας και ζητάμε από όλους τους πελάτες του MOVEit Transfer να καταργήσουν αμέσως την επισκεψιμότητα HTTP και HTTPS για να προστατεύσουν το περιβάλλον τους όσο ολοκληρωθεί η ενημέρωση κώδικα. Αυτήν τη στιγμή δοκιμάζουμε την ενημερωμένη έκδοση κώδικα και θα ενημερώσουμε τους πελάτες σύντομα.
Με απλά λόγια, υπάρχει μια σύντομη περίοδος μηδενικής ημέρας κατά τη διάρκεια της οποίας κυκλοφορεί ένα λειτουργικό exploit, αλλά η ενημέρωση κώδικα δεν είναι ακόμα έτοιμη.
Όπως ανέφερε προηγουμένως η Progress, αυτή η ομάδα των λεγόμενων σφαλμάτων εισαγωγής εντολών (όπου στέλνετε δεδομένα που θα έπρεπε να είναι αβλαβή που αργότερα καλούνται ως εντολή συστήματος) μπορεί να ενεργοποιηθεί μόνο μέσω της πύλης του MOVEit που βασίζεται στον ιστό (HTTP ή HTTPS). .
Ευτυχώς, αυτό σημαίνει ότι δεν χρειάζεται να κλείσετε ολόκληρο το σύστημα MOVEit, παρά μόνο πρόσβαση μέσω web.
Τι να κάνω;
Παράθεση από την Progress Software's συμβουλευτικό έγγραφο με ημερομηνία 2023-06-15:
Απενεργοποιήστε όλη την κίνηση HTTP και HTTP στο περιβάλλον μεταφοράς MOVEit. Πιο συγκεκριμένα:
- Τροποποιήστε τους κανόνες του τείχους προστασίας για να απορρίψετε την κυκλοφορία HTTP και HTTP στο MOVEit Transfer στις θύρες 80 και 443.
- Είναι σημαντικό να σημειωθεί ότι μέχρι να ενεργοποιηθεί ξανά η κυκλοφορία HTTP και HTTPS:
- Οι χρήστες δεν θα μπορούν να συνδεθούν στη διεπαφή ιστού MOVEit Transfer.
- Οι εργασίες αυτοματισμού MOVEit που χρησιμοποιούν τον εγγενή κεντρικό υπολογιστή μεταφοράς MOVEit δεν θα λειτουργήσουν.
- Τα API REST, Java και .NET δεν θα λειτουργήσουν.
- Το πρόσθετο MOVEit Transfer για το Outlook δεν θα λειτουργήσει.
- Τα πρωτόκολλα SFTP και FTP/s θα συνεχίσουν να λειτουργούν κανονικά
Κρατήστε το βλέμμα σας έξω για το τρίτο patch σε αυτό το έπος, οπότε υποθέτουμε ότι το Progress θα δώσει το απολύτως σαφές να ενεργοποιήσετε ξανά την πρόσβαση στον ιστό…
…αν και θα σας λυπούμαστε αν αποφασίσατε να το διατηρήσετε ενεργοποιημένο για λίγο ακόμα, για να είστε σίγουροι, για να είστε σίγουροι.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- EVM Finance. Ενιαία διεπαφή για αποκεντρωμένη χρηματοδότηση. Πρόσβαση εδώ.
- Quantum Media Group. Ενισχυμένο IR/PR. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Data Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- πηγή: https://nakedsecurity.sophos.com/2023/06/15/moveit-mayhem-3-disable-http-and-https-traffic-immediately/
- :έχει
- :είναι
- :δεν
- :που
- 1
- 15%
- 2023
- 25
- 80
- a
- Ικανός
- ΠΛΗΡΟΦΟΡΙΕΣ
- Απόλυτος
- πρόσβαση
- πάλι
- Όλα
- ήδη
- Επίσης
- εναλλακτική λύση
- an
- και
- Άλλος
- APIs
- Εφαρμογή
- ΕΙΝΑΙ
- γύρω
- AS
- συσχετισμένη
- At
- συγγραφέας
- αυτόματη
- Αυτοματοποίηση
- πίσω
- background-image
- βασίζονται
- BE
- ήταν
- πριν
- Εκβιασμός
- σύνορο
- Κάτω μέρος
- παραβίαση
- Διακοπή
- αναπνοή
- Έντομο
- σφάλματα
- αλλά
- by
- CAN
- περίπτωση
- Κέντρο
- που κυκλοφορεί
- Backup
- κωδικός
- χρώμα
- δεσμεύεται
- εταίρα
- Συμβιβασμένος
- ΣΥΝΕΧΕΙΑ
- θα μπορούσε να
- κάλυμμα
- Εγκληματίες
- Τη στιγμή
- Πελάτες
- κυβερνοεκβιασμός
- ημερομηνία
- παραβιάσεων δεδομένων
- βάση δεδομένων
- με ημερομηνία
- συμφωνία
- αποφάσισε
- απαιτητικές
- καθέκαστα
- DIG
- Display
- do
- πράξη
- Μην
- κάτω
- κατά την διάρκεια
- αλλού
- Υπάλληλος
- ενεργοποιημένη
- τέλος
- αρκετά
- Ολόκληρος
- Περιβάλλον
- περιβάλλοντα
- λάθη
- Even
- εξήγησε
- Εκμεταλλεύομαι
- μάτια
- μακριά
- οριστικοποιήθηκε
- Εύρεση
- firewall
- Όνομα
- ελαττώματα
- Flock
- ακολουθείται
- Για
- Βρέθηκαν
- από
- περαιτέρω
- Συμμορία
- Συμμορίες
- παίρνω
- Δώστε
- Δίνοντας
- Group
- είχε
- Σκληρά
- Έχω
- ύψος
- Τρύπα
- οικοδεσπότης
- φιλοξενείται
- φτερουγίζω
- Πως
- Πώς να
- http
- HTTPS
- if
- αμέσως
- σημαντικό
- in
- σε
- εισήγαγε
- επικαλείται
- IT
- ΤΟΥ
- ορολογία
- Java
- Ιούνιος
- μόλις
- Διατήρηση
- Ξέρω
- γνωστός
- Επίθετο
- αργότερα
- αριστερά
- φως
- αστραπή
- Μου αρέσει
- κούτσουρο
- πλέον
- ματιά
- κοίταξε
- κοιτάζοντας
- κατασκευαστής
- malware
- Περιθώριο
- max-width
- Ενδέχεται..
- μέσα
- που αναφέρθηκαν
- ενδέχεται να
- περισσότερο
- Γυμνή ασφάλεια
- ντόπιος
- Ανάγκη
- χρειάζονται
- καθαρά
- Νέα
- πρόσφατα
- Όχι.
- κανονικός
- of
- συχνά
- on
- αποκλειστικά
- or
- ΑΛΛΑ
- έξω
- θέα
- καταβλήθηκε
- μέρος
- Ειδικότερα
- Κωδικός Πρόσβασης
- Patch
- Patches
- Παύλος
- πληρωμές
- Μισθολόγιο
- εκτελούνται
- περίοδος
- Μέρος
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- Σημείο
- Πύλη
- θέση
- δημοσιεύτηκε
- Δημοσιεύσεις
- Προϊόν
- Προγραμματιστής
- Προγραμματισμός
- Πρόοδος
- πρωτόκολλα
- δημοσίως
- δημοσιεύει
- δημοσιεύθηκε
- βάζω
- Γρήγορα
- ΒΡΟΧΗ
- ransomware
- έτοιμος
- σχετικής
- απόδοση
- Αποκαλυφθε'ντα
- δεξιά
- Δωμάτιο
- κανόνες
- τρέξιμο
- σκανδιναυικός μύθος
- ίδιο
- λένε
- λέει
- ασφάλεια
- φαίνεται
- στείλετε
- αποστολή
- Διακομιστές
- Σύντομα
- τερματίστε
- παρόμοιες
- So
- λογισμικό
- στέρεο
- Κάποιος
- ειδικά
- Εκκίνηση
- κλαπεί
- τέτοιος
- έκπληκτος
- SVG
- σύστημα
- Πάρτε
- λαμβάνεται
- εργασίες
- Δοκιμές
- ότι
- Η
- ο κόσμος
- τους
- Τους
- επομένως
- Αυτοί
- αυτοί
- Τρίτος
- τρίτους
- αυτό
- αν και?
- τρία
- Μέσω
- ώρα
- χρονοδιάγραμμα
- προς την
- μαζι
- κορυφή
- ΚΙΝΗΣΗ στους ΔΡΟΜΟΥΣ
- μεταφορά
- μετάβαση
- διαφανής
- ενεργοποιήθηκε
- ΣΤΡΟΦΗ
- Γύρισε
- ui
- μέχρι
- Ενημέρωση
- προτρέποντας
- URL
- χρήση
- μεταχειρισμένος
- χρησιμοποιώντας
- πάροχος υπηρεσιών
- μέσω
- Επίσκεψη
- Θέματα ευπάθειας
- ευπάθεια
- προειδοποίηση
- ήταν
- τρόπους
- we
- ιστός
- Web-based
- εβδομάδα
- Εβδ.
- ήταν
- Τι
- πότε
- Ποιό
- ενώ
- Ο ΟΠΟΊΟΣ
- του οποίου
- WHY
- πλάτος
- θα
- με
- χωρίς
- Εργασία
- εργάστηκαν
- εργαζόμενος
- κόσμος
- θα
- ακόμη
- Εσείς
- Σας
- zephyrnet