MOVEit mayhem 3: "Deshabilitar el tráfico HTTP y HTTPS inmediatamente"

¡Más caos de MOVEit!

“Deshabilitar el tráfico HTTP y HTTPS para MOVEit Transfer,” dice Progress Software, y el plazo para hacerlo es "inmediatamente", sin peros, sin peros,

Progress Software es el fabricante de software para compartir archivos Transferencia MOVEit, y el hospedado Nube MOVEit alternativa que se basa en él, y esta es su tercera advertencia en tres semanas sobre vulnerabilidades pirateables en su producto.

A fines de mayo de 2023, se descubrió que los delincuentes cibernéticos asociados con la pandilla de ransomware Clop estaban usando un exploit de día cero para ingresar a los servidores que ejecutan el front-end web del producto MOVEit.

Al enviar comandos de base de datos SQL deliberadamente mal formados a un servidor MOVEit Tranfer a través de su portal web, los delincuentes podían acceder a las tablas de la base de datos sin necesidad de una contraseña e implantar malware que les permitía regresar a los servidores comprometidos más adelante, incluso si habían sido parcheados. el interino.

We explicado cómo parchear y qué podría buscar en caso de que los delincuentes ya lo hayan visitado, a principios de junio de 2023:

Exploit de día cero de MOVEit utilizado por pandillas de violación de datos: el cómo, el por qué y qué hacer...

Aparentemente, los atacantes han estado robando datos de la empresa trofeo, como los detalles de la nómina de los empleados, y exigiendo pagos de chantaje a cambio de "borrar" los datos robados.

Segunda advertencia

Esa advertencia fue seguida, la semana pasada, por una actualización de Progress Software para decir que, mientras investigaban el agujero de día cero que ya habían reparado, encontraron fallas de programación similares en otras partes del código.

Por lo tanto, la empresa publicó un más parche, instando a los clientes a aplicar estas nuevas correcciones de manera proactiva, asumiendo que los delincuentes (cuyo día cero acababa de quedar inútil con el primer parche) también estarían buscando otras formas de volver a ingresar.

Más mitigaciones de MOVEit: nuevos parches publicados para mayor protección

Como era de esperar, los insectos de una pluma a menudo se juntan, como explicamos en Naked Security de esta semana. Podcast:

[El 2023 de junio de 06, Progress lanzó] otro parche para solucionar errores similares que, hasta donde ellos saben, los delincuentes aún no han encontrado (pero si buscaron lo suficiente, podrían hacerlo).

Y, por extraño que suene, cuando descubre que una parte particular de su software tiene un error de un tipo particular, no debería sorprenderse si, cuando profundice más...

… descubre que el programador (o el equipo de programación que trabajó en él en el momento en que se introdujo el error que ya conoce) cometió errores similares al mismo tiempo.

T3 Ep139: ¿Las reglas de contraseña son como correr bajo la lluvia?

Tercera vez desafortunado

Bueno, aparentemente un rayo acaba de caer en el mismo lugar por tercera vez en rápida sucesión.

Esta vez, parece que alguien realizó lo que se conoce en la jerga como una "divulgación completa" (donde los errores se revelan al mundo al mismo tiempo que al proveedor, lo que le da al proveedor un respiro para publicar un parche de manera proactiva) , o "dejar caer un día 0".

El progreso acaba de reportaron:

Hoy [2023-06-15], un tercero publicó públicamente una nueva vulnerabilidad [inyección SQL]. Hemos eliminado el tráfico HTTPS para MOVEit Cloud a la luz de la vulnerabilidad recientemente publicada y estamos pidiendo a todos los clientes de MOVEit Transfer que eliminen inmediatamente su tráfico HTTP y HTTPS para proteger sus entornos mientras finaliza el parche. Actualmente estamos probando el parche y lo actualizaremos en breve.

En pocas palabras, hay un breve período de día cero durante el cual circula un exploit funcional, pero el parche aún no está listo.

Como Progress mencionó anteriormente, este grupo de los llamados errores de inyección de comandos (donde se envían lo que deberían ser datos inofensivos que luego se invocan como un comando del sistema) solo se pueden activar a través del portal web (HTTP o HTTPS) de MOVEit. .

Afortunadamente, eso significa que no necesita apagar todo su sistema MOVEit, solo el acceso basado en la web.

¿Qué hacer?

Citando de Progress Software documento de asesoramiento con fecha 2023-06-15:

Deshabilite todo el tráfico HTTP y HTTPs a su entorno de MOVEit Transfer. Más específicamente:

• Modifique las reglas del firewall para denegar el tráfico HTTP y HTTPs a MOVEit Transfer en los puertos 80 y 443.
• Es importante tener en cuenta que hasta que se vuelva a habilitar el tráfico HTTP y HTTPS:
  • Los usuarios no podrán iniciar sesión en la interfaz de usuario web de MOVEit Transfer.
  • Las tareas de MOVEit Automation que utilizan el host nativo de MOVEit Transfer no funcionarán.
  • Las API REST, Java y .NET no funcionarán.
  • El complemento MOVEit Transfer para Outlook no funcionará.
• Los protocolos SFTP y FTP/s seguirán funcionando con normalidad

Esté atento al tercer parche de esta saga, momento en el que asumimos que Progress dará el visto bueno para volver a activar el acceso web...

…aunque nos solidarizaríamos si decidieras mantenerlo apagado por un tiempo más, solo para estar seguro, para estar seguro.

---

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• EVM Finanzas. Interfaz unificada para finanzas descentralizadas. Accede Aquí.
• Grupo de medios cuánticos. IR/PR amplificado. Accede Aquí.
• PlatoAiStream. Inteligencia de datos Web3. Conocimiento amplificado. Accede Aquí.
• Fuente: https://nakedsecurity.sophos.com/2023/06/15/moveit-mayhem-3-disable-http-and-https-traffic-immediately/