MOVEit Mayhem 3: "Poista HTTP- ja HTTPS-liikenne välittömästi käytöstä"

MOVEit Mayhem 3: "Poista HTTP- ja HTTPS-liikenne välittömästi käytöstä"

Aikaleima: 15. kesäkuuta 2023 6
MOVEit Mayhem 3: "Poista HTTP- ja HTTPS-liikenne välittömästi käytöstä" PlatoBlockchain Data Intelligence. Pystysuuntainen haku. Ai.
by Paul Ducklin

Vielä lisää MOVEit sekasortoa!

"Poista HTTP- ja HTTPS-liikenne käytöstä MOVEit Transferiin" sanoo Progress Software, ja aikaraja sen tekemiselle on "heti", ei jos, ei mutta,

Progress Software on tiedostonjakoohjelmistojen valmistaja MOVEitTransfer, ja isännöi MOVEit Cloud vaihtoehto, joka perustuu siihen, ja tämä on kolmas varoitus kolmen viikon sisällä tuotteen hakkeroitavista haavoittuvuuksista.

Toukokuun 2023 lopussa Clop ransomware -jengiin liittyvien kyberkiristysrikollisten havaittiin murtautuneen MOVEit-tuotteen verkkokäyttöliittymää käyttäville palvelimille nollapäivän hyväksikäytöllä.

Lähettämällä tarkoituksellisesti väärin muotoiltuja SQL-tietokantakomentoja MOVEit Transfer -palvelimelle sen verkkoportaalin kautta, rikolliset voivat käyttää tietokantataulukoita ilman salasanaa ja istuttaa haittaohjelmia, jotka antoivat heille mahdollisuuden palata vaarantuneille palvelimille myöhemmin, vaikka ne olisi korjattu. väliaikainen.

We selitti kuinka korjata ja mitä voisi etsiä, jos roistot olivat jo käyneet luonasi jo kesäkuun 2023 alussa:

MOVEit nollapäivän hyväksikäyttö, jota tietomurtojengit käyttävät: miten, miksi ja mitä tehdä…

Hyökkääjät ovat ilmeisesti varastaneet palkintoyritystietoja, kuten työntekijöiden palkkatietoja, ja vaatineet kiristysmaksuja vastineeksi varastettujen tietojen "poistamisesta".

Toinen varoitus

Tätä varoitusta seurasi viime viikolla Progress Software -päivitys, jossa kerrottiin, että he löysivät samanlaisia ​​ohjelmointivirheitä muualta koodista tutkiessaan nollapäivän aukkoa, jonka he olivat jo korjanneet.

Siksi yhtiö julkaisi a lisäkorjaus, joka kehottaa asiakkaita ottamaan nämä uudet korjaukset käyttöön ennakoivasti, olettaen, että roistot (jonka nollapäivä oli juuri tehty hyödyttömäksi ensimmäisellä korjaustiedostolla) etsivät myös innokkaasti muita tapoja päästä takaisin.

Lisää MOVEit-rajoituksia: uusia korjaustiedostoja julkaistu lisäsuojaa varten

Ei ole yllättävää, että höyhenen höyhenet kerääntyvät usein yhteen, kuten selitimme tämän viikon Naked Securityssa podcast:

[Progress julkaisi 2023-06-09] toisen korjaustiedoston käsitelläkseen samanlaisia ​​bugeja, joita heidän tietääkseen roistot eivät ole vielä löytäneet (mutta jos he katsoivat tarpeeksi tarkasti, he saattavat).

Ja niin oudolta kuin se kuulostaakin, kun huomaat, että ohjelmistosi tietyssä osassa on tietynlainen bugi, sinun ei pitäisi olla yllättynyt, jos kaivaa syvemmälle…

…huomatat, että ohjelmoija (tai ohjelmointitiimi, joka työskenteli sen parissa silloin, kun jo tietämäsi bugi otettiin käyttöön) teki samanlaisia ​​virheitä suunnilleen samaan aikaan.

S3 Ep139: Ovatko salasanasäännöt kuin juoksemista sateen läpi?

Kolmas kerta onneton

No, salama on ilmeisesti juuri iskenyt samaan paikkaan kolmannen kerran nopeasti peräkkäin.

Tällä kertaa näyttää siltä, ​​että joku teki sen, mitä ammattikieltä tunnetaan "täydelliseksi paljastamiseksi" (jossa virheet paljastetaan maailmalle samaan aikaan kuin myyjälle, jolloin myyjälle ei jää hengähdystaukoa julkaista korjaustiedosto ennakoivasti) , tai "0-päivän pudottaminen".

Edistystä on juuri tapahtunut raportoitu:

Tänään [2023-06-15] kolmas osapuoli julkaisi julkisesti uuden [SQL-injektion]-haavoittuvuuden. Olemme poistaneet MOVEit Cloudin HTTPS-liikenteen äskettäin julkaistun haavoittuvuuden vuoksi ja pyydämme kaikkia MOVEit Transfer -asiakkaita poistamaan välittömästi HTTP- ja HTTPS-liikenteensä ympäristönsä turvaamiseksi, kun korjaustiedosto on viimeistelty. Testaamme parhaillaan korjaustiedostoa ja päivitämme asiakkaille pian.

Yksinkertaisesti sanottuna on lyhyt nollapäivän jakso, jonka aikana toimiva hyväksikäyttö kiertää, mutta korjaustiedosto ei ole vielä valmis.

Kuten Progress on aiemmin maininnut, tämä ryhmä ns. komento-injektiovirheitä (johon lähetetään vaaratonta dataa, joka myöhemmin kutsutaan järjestelmäkäskyksi) voidaan käynnistää vain MOVEitin verkkopohjaisen (HTTP tai HTTPS) portaalin kautta. .

Onneksi tämä tarkoittaa, että sinun ei tarvitse sulkea koko MOVEit-järjestelmääsi, vain verkkopohjainen pääsy.

Mitä tehdä?

Lainaus Progress Softwaren sivuilta neuvontaasiakirja päivätty 2023-06-15:


Poista käytöstä kaikki HTTP- ja HTTPs-liikenne MOVEit Transfer -ympäristöösi. Tarkemmin:

  • Muokkaa palomuurisääntöjä estääksesi HTTP- ja HTTPs-liikenteen MOVEit Transferin porteissa 80 ja 443.
  • On tärkeää huomata, että kunnes HTTP- ja HTTPS-liikenne otetaan uudelleen käyttöön:
    • Käyttäjät eivät voi kirjautua MOVEit Transfer -verkkokäyttöliittymään.
    • MOVEit Automation -tehtävät, jotka käyttävät alkuperäistä MOVEit Transfer -isäntää, eivät toimi.
    • REST-, Java- ja .NET-sovellusliittymät eivät toimi.
    • MOVEit Transfer -apuohjelma Outlookille ei toimi.
  • SFTP- ja FTP/s-protokollat ​​toimivat edelleen normaalisti

Pidä silmäsi auki tämän saagan kolmatta korjausta varten, jolloin oletamme, että Progress antaa kaiken selvän verkkoyhteyden ottamiseksi takaisin käyttöön…

…vaikka olisimme myötätuntoisia, jos päättäisitte pitää sen pois päältä vielä jonkin aikaa, varmuuden vuoksi.

Aikaleima:

Lisää aiheesta Naked Security