MOVEit mayhem 3: "Απενεργοποιήστε αμέσως την κυκλοφορία HTTP και HTTPS"

Ακόμα περισσότερο MOVEit χάος!

"Απενεργοποίηση της κυκλοφορίας HTTP και HTTPS στο MOVEit Transfer," λέει το Progress Software, και το χρονοδιάγραμμα για να γίνει αυτό είναι "αμέσως", όχι αν, όχι αλλά,

Η Progress Software είναι ο κατασκευαστής λογισμικού κοινής χρήσης αρχείων Μεταφορά MOVEit, και οι φιλοξενούμενοι MOVEit Cloud εναλλακτική λύση που βασίζεται σε αυτήν, και αυτή είναι η τρίτη προειδοποίηση μέσα σε τρεις εβδομάδες σχετικά με ευπάθειες που μπορούν να παραβιαστούν στο προϊόν της.

Στα τέλη Μαΐου 2023, εγκληματίες κυβερνοεκβιασμού που σχετίζονται με τη συμμορία ransomware Clop διαπιστώθηκε ότι χρησιμοποιούσαν ένα exploit zero-day για να εισβάλουν σε διακομιστές που εκτελούσαν το web front-end του προϊόντος MOVEit.

Στέλνοντας εσκεμμένα λανθασμένες εντολές βάσης δεδομένων SQL σε έναν διακομιστή MOVEit Tranfer μέσω της διαδικτυακής πύλης του, οι εγκληματίες μπορούσαν να έχουν πρόσβαση σε πίνακες βάσης δεδομένων χωρίς να χρειάζονται κωδικό πρόσβασης και να εμφυτεύσουν κακόβουλο λογισμικό που τους επέτρεπε να επιστρέψουν σε παραβιασμένους διακομιστές αργότερα, ακόμη και αν είχαν επιδιορθωθεί το ενδιάμεσο.

We εξήγησε πώς να επιδιορθώσετε και τι θα μπορούσατε να αναζητήσετε σε περίπτωση που οι απατεώνες σας είχαν ήδη επισκεφθεί, στις αρχές Ιουνίου 2023:

MOVEit zero-day exploit που χρησιμοποιείται από συμμορίες παραβίασης δεδομένων: Το πώς, το γιατί και τι να κάνετε…

Οι επιτιθέμενοι προφανώς έκλεβαν δεδομένα τρόπαιας εταιρείας, όπως στοιχεία μισθοδοσίας εργαζομένων, και απαιτούσαν πληρωμές εκβιασμού σε αντάλλαγμα για «διαγραφή» των κλεμμένων δεδομένων.

Δεύτερη προειδοποίηση

Αυτή η προειδοποίηση ακολούθησε, την περασμένη εβδομάδα, μια ενημέρωση από το Progress Software που έλεγε ότι, ενώ ερευνούσαν την τρύπα zero-day που είχαν ήδη διορθώσει, βρήκαν παρόμοια ελαττώματα προγραμματισμού σε άλλα σημεία του κώδικα.

Η εταιρεία λοιπόν δημοσίευσε α περαιτέρω έμπλαστρο, παροτρύνοντας τους πελάτες να εφαρμόσουν αυτές τις νέες διορθώσεις προληπτικά, υποθέτοντας ότι οι απατεώνες (των οποίων η μηδενική ημέρα είχε μόλις αχρηστευτεί από την πρώτη ενημέρωση κώδικα) θα αναζητούσαν επίσης ένθερμα άλλους τρόπους για να επιστρέψουν.

Περισσότερα μετριασμούς MOVEit: δημοσιεύονται νέες ενημερώσεις κώδικα για περαιτέρω προστασία

Δεν αποτελεί έκπληξη, τα ζωύφια ενός φτερού συχνά συρρέουν μαζί, όπως εξηγήσαμε στο Naked Security αυτής της εβδομάδας το podcast:

[Στις 2023-06-09, η Progress έβαλε] άλλο ένα έμπλαστρο για την αντιμετώπιση παρόμοιων σφαλμάτων που, από όσο γνωρίζουν, οι απατεώνες δεν έχουν βρει ακόμα (αλλά αν έψαχναν αρκετά σκληρά, θα μπορούσαν).

Και, όσο περίεργο κι αν ακούγεται αυτό, όταν διαπιστώνετε ότι ένα συγκεκριμένο μέρος του λογισμικού σας έχει ένα συγκεκριμένο είδος σφάλματος, δεν θα πρέπει να εκπλαγείτε αν, όταν σκάψετε βαθύτερα…

…βρίσκετε ότι ο προγραμματιστής (ή η ομάδα προγραμματισμού που εργάστηκε σε αυτό τη στιγμή που παρουσιάστηκε το σφάλμα για το οποίο ήδη γνωρίζετε) διέπραξε παρόμοια σφάλματα την ίδια στιγμή.

S3 Ep139: Οι κανόνες κωδικού πρόσβασης είναι σαν το τρέξιμο μέσα στη βροχή;

Τρίτη φορά άτυχος

Λοιπόν, ο κεραυνός προφανώς μόλις χτύπησε το ίδιο μέρος για τρίτη φορά διαδοχικά.

Αυτή τη φορά, φαίνεται ότι κάποιος εκτέλεσε αυτό που είναι γνωστό στην ορολογία ως "πλήρης αποκάλυψη" (όπου τα σφάλματα αποκαλύπτονται στον κόσμο ταυτόχρονα με τον πωλητή, δίνοντας έτσι στον πωλητή κανένα περιθώριο για να δημοσιεύσει προληπτικά μια ενημέρωση κώδικα) , ή "ρίψη 0-ημέρας".

Η πρόοδος μόλις αναφερθεί:

Σήμερα [2023-06-15], ένα τρίτο μέρος δημοσίευσε δημόσια μια νέα ευπάθεια [SQL injection]. Μειώσαμε την επισκεψιμότητα HTTPS για το MOVEit Cloud ενόψει της πρόσφατα δημοσιευμένης ευπάθειας και ζητάμε από όλους τους πελάτες του MOVEit Transfer να καταργήσουν αμέσως την επισκεψιμότητα HTTP και HTTPS για να προστατεύσουν το περιβάλλον τους όσο ολοκληρωθεί η ενημέρωση κώδικα. Αυτήν τη στιγμή δοκιμάζουμε την ενημερωμένη έκδοση κώδικα και θα ενημερώσουμε τους πελάτες σύντομα.

Με απλά λόγια, υπάρχει μια σύντομη περίοδος μηδενικής ημέρας κατά τη διάρκεια της οποίας κυκλοφορεί ένα λειτουργικό exploit, αλλά η ενημέρωση κώδικα δεν είναι ακόμα έτοιμη.

Όπως ανέφερε προηγουμένως η Progress, αυτή η ομάδα των λεγόμενων σφαλμάτων εισαγωγής εντολών (όπου στέλνετε δεδομένα που θα έπρεπε να είναι αβλαβή που αργότερα καλούνται ως εντολή συστήματος) μπορεί να ενεργοποιηθεί μόνο μέσω της πύλης του MOVEit που βασίζεται στον ιστό (HTTP ή HTTPS). .

Ευτυχώς, αυτό σημαίνει ότι δεν χρειάζεται να κλείσετε ολόκληρο το σύστημα MOVEit, παρά μόνο πρόσβαση μέσω web.

Τι να κάνω;

Παράθεση από την Progress Software's συμβουλευτικό έγγραφο με ημερομηνία 2023-06-15:

Απενεργοποιήστε όλη την κίνηση HTTP και HTTP στο περιβάλλον μεταφοράς MOVEit. Πιο συγκεκριμένα:

• Τροποποιήστε τους κανόνες του τείχους προστασίας για να απορρίψετε την κυκλοφορία HTTP και HTTP στο MOVEit Transfer στις θύρες 80 και 443.
• Είναι σημαντικό να σημειωθεί ότι μέχρι να ενεργοποιηθεί ξανά η κυκλοφορία HTTP και HTTPS:
  • Οι χρήστες δεν θα μπορούν να συνδεθούν στη διεπαφή ιστού MOVEit Transfer.
  • Οι εργασίες αυτοματισμού MOVEit που χρησιμοποιούν τον εγγενή κεντρικό υπολογιστή μεταφοράς MOVEit δεν θα λειτουργήσουν.
  • Τα API REST, Java και .NET δεν θα λειτουργήσουν.
  • Το πρόσθετο MOVEit Transfer για το Outlook δεν θα λειτουργήσει.
• Τα πρωτόκολλα SFTP και FTP/s θα συνεχίσουν να λειτουργούν κανονικά

Κρατήστε το βλέμμα σας έξω για το τρίτο patch σε αυτό το έπος, οπότε υποθέτουμε ότι το Progress θα δώσει το απολύτως σαφές να ενεργοποιήσετε ξανά την πρόσβαση στον ιστό…

…αν και θα σας λυπούμαστε αν αποφασίσατε να το διατηρήσετε ενεργοποιημένο για λίγο ακόμα, για να είστε σίγουροι, για να είστε σίγουροι.

---

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• EVM Finance. Ενιαία διεπαφή για αποκεντρωμένη χρηματοδότηση. Πρόσβαση εδώ.
• Quantum Media Group. Ενισχυμένο IR/PR. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Data Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• πηγή: https://nakedsecurity.sophos.com/2023/06/15/moveit-mayhem-3-disable-http-and-https-traffic-immediately/