MOVEit Mayhem 3: "Keela HTTP ja HTTPS-i liiklus kohe"

Taasavaldanud Platon

järgijaid: 0

MOVEit kaos 3: "Keelake kohe HTTP- ja HTTPS-liiklus" PlatoBlockchain Data Intelligence. Vertikaalne otsing. Ai.

Veel rohkem MOVEiti kaost!

"Keela HTTP- ja HTTPS-liiklus MOVEit Transferis" ütleb Progress Software ja aeg selleks on "kohe", ei kui, ei aga,

Progress Software on failijagamistarkvara tegija MOVEitTransferja majutatud MOVEit Cloud sellel põhinev alternatiiv ja see on kolmas hoiatus kolme nädala jooksul selle toote häkitavate turvaaukude kohta.

2023. aasta mai lõpus leiti, et Clopi lunavarajõuguga seotud küberväljapressimise kurjategijad kasutasid MOVEiti toote veebiliidese töötavate serverite sissemurdmiseks nullpäeva rünnakut.

Saates MOVEit Transferi serverisse selle veebiportaali kaudu tahtlikult valesti vormindatud SQL-andmebaasi käske, pääsesid kurjategijad andmebaasi tabelitele juurde ilma paroolita ja implanteerisid pahavara, mis võimaldas neil hiljem ohustatud serveritesse naasta, isegi kui need olid paigatud. vahepealne.

We selgitas kuidas lappida ja mida võiksite otsida juhuks, kui kelmid on teile juba 2023. aasta juuni alguses külla tulnud:

MOVEiti nullpäevane ärakasutamine, mida kasutavad andmerikkumisrühmad: kuidas, miks ja mida teha…

Ründajad on ilmselt varastanud trofeeettevõtte andmeid, näiteks töötajate palgaarvestuse andmeid, ja nõudnud varastatud andmete "kustutamise" eest tagasimakseid.

.s-button+.s-button { margin-left: .3125rem; } .s-button { üleminek: kõik .15s lineaarne; fondi suurus: .875rem; joone kõrgus: 1.5; värv: #f2f2f2; fondiperekond: SophosSansMedium, Helvetica Neue, Helvetica, Arial, sans-serif; fondi kaal: 400; fondi stiil: tavaline; ekraan: inline-block; polster: .3125rem 1.25rem; kursor: kursor; teksti joondamine: keskel; tekst-kaunistus: puudub; ääris: 1px solid #005bc8; piiri raadius: 3px; taustavärv: #005bc8; tekst-vari: puudub; } .s-button:hover { text-decoration: none; värv: #fff; piirivärv: #002d62; taustavärv: #002d62; } .s-button–white, .s-button–white:hover { color: #005bc8 !important; piirivärv: #fff; taustavärv: #fff; } .s-ad-sophos-mdr { fondi suurus: 1rem; joone kõrgus: 1.5; värv: #242629; fondiperekond: SophosSansRegular, Helvetica Neue, Helvetica, Arial, sans-serif; fondi kaal: 400; fondi stiil: tavaline; asend: suhteline; maksimaalne laius: 769 pikslit; veeris: 15px auto; polsterdus: 30px 30px 25px; üleminek: kast-vari .25s cubic-bezier( .645, .045, .355, 1 ); teksti joondamine: keskel; taustavärv: #0d141d; background-repeat: no-repeat; taustapositsioon: 50%; tausta suurus: kaas; kast-vari: 0 0 0 0 0 läbipaistev; taustavärv: #005bc8; taustapilt: puudub; tausta-positsioon: 0 0; } .s-ad-sophos-mdr__title { fondi suurus: 2rem; joone kõrgus: 1.125; veeris-alumine: 4px; värv: #fff; } .s-ad-sophos-mdr__text { font-family: SophosSansLight, Helvetica Neue, Helvetica, Arial, sans-serif; fondi kaal: 400; fondi stiil: tavaline; fondi suurus: 17 pikslit; värv: #fff; } .s-ad-sophos-mdr__action { margin-top: 15px; } .s-ad-sophos-mdr__action .s-button { värv: #fff; } .s-ad-sophos-mdr__link-wrapper { text-decoration: none; } .s-ad-sophos-mdr__link-wrapper:hover .s-ad-sophos-mdr { box-shadow: 0 5px 10px 0 rgba( 0, 0, 0, .15 ); } .s-ad-sophos-mdr__sophos-logo { asukoht: absoluutne; ülemine: 15 pikslit; paremal: 15 pikslit; } .s-ad-sophos-mdr__sophos-logo-svg { kuva: inline-block; laius: 64 pikslit; kõrgus: 11 pikslit; vertikaalne joondamine: ülemine; background-repeat: no-repeat; tausta suurus: 64 pikslit 11 pikslit; } .s-ad-sophos-mdr__title { font-family: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, sans-serif; fondi kaal: 400; fondi stiil: tavaline; fondi suurus: 28 pikslit; fondi kaal: 700; joone kõrgus: 1; veeris-alumine: 10px; teksti joondamine: vasakule; } .s-ad-sophos-mdr__title svg { max-width: 100%; } .s-ad-sophos-mdr__text { fondi suurus: 16 pikslit; joone kõrgus: 1.25; teksti joondamine: vasakule; } .s-ad-sophos-mdr__action { text-align: right; } .s-ad-sophos-mdr .s-button { piiriraadius: 20 pikslit; } @media (min-width: 769px) { .s-ad-sophos-mdr__text { margin-right: 140px; } .s-ad-sophos-mdr__action { position: absoluutne; paremal: 30 pikslit; alumine: 30 pikslit; } } @meedia (max-width: 768px) { .s-ad-sophos-mdr { padding-top: 50px; } .s-ad-sophos-mdr__title { fondi suurus: 1.625rem; } .s-ad-sophos-mdr__text { fondi suurus: 16 pikslit; } .s-ad-sophos-mdr { padding-top: 30px; } }

Teine hoiatus

Sellele hoiatusele järgnes eelmisel nädalal Progress Software'i värskendus, milles öeldakse, et juba lappitud nullpäeva auku uurides leidsid nad sarnaseid programmeerimisvigu ka mujal koodis.

Seetõttu avaldas ettevõte a edasine plaaster, kutsudes kliente üles neid uusi parandusi ennetavalt rakendama, eeldades, et kelmid (kelle nullpäeva just esimene plaaster kasutuks muutis) otsivad innukalt ka muid võimalusi tagasi pääsemiseks.

Veel MOVEiti leevendusi: täiendavaks kaitseks avaldati uued plaastrid

Pole üllatav, et suleputkad kogunevad sageli kokku, nagu selgitasime selle nädala ajakirjas Naked Security podcast:

[2023-06-09 pani Progress välja] veel ühe plaastri, et tegeleda sarnaste vigadega, mida nende teada pole kelmid veel leidnud (aga kui nad piisavalt hoolikalt uuriksid, võivad nad seda teha).

Ja nii imelik kui see ka ei kõla, kui avastate, et teie tarkvara teatud osas on teatud tüüpi viga, ei tohiks te olla üllatunud, kui süvenedes…

…te avastate, et programmeerija (või programmeerimismeeskond, kes selle kallal töötas sel ajal, kui viga, millest te juba teada saite), tegi umbes samal ajal sarnaseid vigu.

S3 Ep139: Kas paroolireeglid on nagu läbi vihma jooksmine?

Kolmas kord õnnetu

Ilmselt tabas välk just kolmandat korda järjest samasse kohta.

Seekord tundub, et keegi tegi seda, mida žargoonis nimetatakse "täielikuks avalikustamiseks" (kus vead avaldatakse maailmale samal ajal kui müüjale, jättes seega müüjale ruumi ennetavalt plaastri avaldamiseks). või "0-päevast loobumine".

Edusammud on just teatatud:

Täna [2023-06-15] postitas kolmas osapool avalikult uue [SQL-i süstimise] haavatavuse. Oleme äsja avaldatud haavatavuse valguses MOVEit Cloudi HTTPS-i liikluse vähendanud ja palume kõigil MOVEit Transferi klientidel viivitamatult oma HTTP- ja HTTPS-liiklus maha võtta, et kaitsta oma keskkonda paiga valmimise ajal. Hetkel testime plaastrit ja värskendame kliente peagi.

Lihtsamalt öeldes on lühike nullpäevane periood, mille jooksul toimiv ärakasutamine ringleb, kuid plaaster pole veel valmis.

Nagu Progress on varem maininud, saab seda niinimetatud käskude sisestamise vigade rühma (kuhu saadate kahjutuid andmeid, mis hiljem süsteemikäsuna kutsutakse) käivitada ainult MOVEiti veebipõhise (HTTP või HTTPS) portaali kaudu. .

Õnneks tähendab see, et te ei pea kogu MOVEiti süsteemi sulgema, vaid ainult veebipõhist juurdepääsu.

Mida teha?

Tsitaat Progress Software'ilt nõuande dokument dateeritud 2023-06-15:

Keelake kogu HTTP- ja HTTPs-liiklus oma MOVEit Transferi keskkonda. Täpsemalt:

Muutke tulemüüri reegleid, et keelata HTTP- ja HTTPs-liiklus MOVEit Transferile portides 80 ja 443.
Oluline on meeles pidada, et kuni HTTP- ja HTTPS-liikluse uuesti lubamiseni:
- Kasutajad ei saa MOVEit Transferi veebiliidese sisse logida.
- MOVEit Automationi ülesanded, mis kasutavad natiivset MOVEit Transferi hosti, ei tööta.
- REST, Java ja .NET API-d ei tööta.
- Outlooki lisandmoodul MOVEit Transfer ei tööta.
SFTP ja FTP/s protokollid töötavad edasi nagu tavaliselt

Hoidke silmad ette selle saaga kolmanda plaastri jaoks, misjärel eeldame, et Progress annab veebijuurdepääsu uuesti sisselülitamiseks kõik selge.

...kuigi tunneksime kaasa, kui otsustaksite selle veel mõnda aega välja lülitada, et olla kindel, et olla kindel.