MOVEit mayhem 3: "Nonaktifkan lalu lintas HTTP dan HTTPS segera"

Lebih banyak MOVEit aniaya!

"Nonaktifkan lalu lintas HTTP dan HTTPS ke MOVEit Transfer," kata Progress Software, dan kerangka waktu untuk melakukannya adalah "langsung", tidak jika, tidak ada tetapi,

Progress Software adalah pembuat perangkat lunak berbagi file Pindahkan Transfer, dan host PINDAHKAN Cloud alternatif yang didasarkan padanya, dan ini adalah peringatan ketiganya dalam tiga minggu tentang kerentanan yang dapat diretas dalam produknya.

Pada akhir Mei 2023, penjahat cyberextortion yang terkait dengan geng ransomware Clop diketahui menggunakan eksploitasi zero-day untuk membobol server yang menjalankan front-end web produk MOVEit.

Dengan mengirimkan perintah database SQL yang sengaja dirusak ke server MOVEit Tranfer melalui portal webnya, para penjahat dapat mengakses tabel database tanpa memerlukan kata sandi, dan menanamkan malware yang memungkinkan mereka untuk kembali ke server yang disusupi di kemudian hari, meskipun tabel tersebut telah ditambal di masa lalu. sementara.

We menjelaskan cara menambal, dan apa yang dapat Anda cari seandainya penjahat telah mengunjungi Anda, pada awal Juni 2023:

Eksploitasi zero-day MOVEit yang digunakan oleh geng pembobol data: Bagaimana, mengapa, dan apa yang harus dilakukan…

Para penyerang rupanya mencuri data perusahaan piala, seperti rincian gaji karyawan, dan menuntut pembayaran pemerasan sebagai imbalan untuk "menghapus" data yang dicuri.

Peringatan kedua

Peringatan tersebut diikuti, minggu lalu, dengan pembaruan dari Progress Software yang mengatakan bahwa, saat menyelidiki lubang zero-day yang telah mereka tambal, mereka menemukan kelemahan pemrograman serupa di tempat lain dalam kode.

Oleh karena itu perusahaan menerbitkan a tambalan lebih lanjut, mendesak pelanggan untuk menerapkan perbaikan baru ini secara proaktif, dengan asumsi bahwa para penjahat (yang zero-day-nya baru saja dianggap tidak berguna pada patch pertama) juga akan mencari cara lain untuk kembali masuk.

Lebih banyak mitigasi MOVEit: tambalan baru diterbitkan untuk perlindungan lebih lanjut

Tidak mengherankan, serangga bulu sering berkumpul bersama, seperti yang kami jelaskan di Keamanan Telanjang minggu ini podcast:

[Pada 2023-06-09, Progress meluncurkan] patch lain untuk mengatasi bug serupa yang, sejauh yang mereka tahu, belum ditemukan oleh para penjahat (tetapi jika mereka mencari cukup teliti, mereka mungkin saja).

Dan, seaneh kedengarannya, ketika Anda menemukan bahwa bagian tertentu dari perangkat lunak Anda memiliki bug jenis tertentu, Anda tidak perlu heran jika, ketika Anda menggali lebih dalam…

… Anda menemukan bahwa programmer (atau tim pemrograman yang mengerjakannya pada saat bug yang sudah Anda ketahui diperkenalkan) melakukan kesalahan serupa pada waktu yang hampir bersamaan.

S3 Ep139: Apakah aturan kata sandi seperti berlari menembus hujan?

Ketiga kalinya sial

Nah, petir rupanya baru saja menyambar tempat yang sama untuk ketiga kalinya secara berurutan.

Kali ini, sepertinya seseorang melakukan apa yang dikenal dalam jargon sebagai "pengungkapan penuh" (di mana bug terungkap ke dunia pada saat yang sama dengan vendor, sehingga memberi vendor tidak ada ruang untuk menerbitkan tambalan secara proaktif) , atau "menjatuhkan 0 hari".

Kemajuan baru saja melaporkan:

Hari ini [2023-06-15], pihak ketiga secara publik memposting kerentanan [injeksi SQL] baru. Kami telah menurunkan lalu lintas HTTPS untuk MOVEit Cloud sehubungan dengan kerentanan yang baru dipublikasikan dan meminta semua pelanggan MOVEit Transfer untuk segera menghapus lalu lintas HTTP dan HTTPS mereka untuk melindungi lingkungan mereka sementara tambalan diselesaikan. Kami sedang menguji tambalan dan kami akan segera memperbarui pelanggan.

Sederhananya, ada periode zero-day singkat di mana eksploit yang berfungsi beredar, tetapi tambalannya belum siap.

Seperti yang telah disebutkan oleh Progress sebelumnya, kelompok yang disebut bug injeksi perintah ini (di mana Anda mengirimkan data yang seharusnya tidak berbahaya yang kemudian dipanggil sebagai perintah sistem) hanya dapat dipicu melalui portal berbasis web MOVEit (HTTP atau HTTPS) .

Untungnya, itu berarti Anda tidak perlu mematikan seluruh sistem MOVEit Anda, hanya akses berbasis web.

Apa yang harus dilakukan?

Mengutip dari Progress Software's dokumen saran tanggal 2023-06-15:

Nonaktifkan semua lalu lintas HTTP dan HTTPs ke lingkungan Transfer MOVEit Anda. Lebih spesifik:

• Ubah aturan firewall untuk menolak lalu lintas HTTP dan HTTPs ke MOVEit Transfer pada port 80 dan 443.
• Penting untuk diperhatikan bahwa hingga lalu lintas HTTP dan HTTPS diaktifkan kembali:
  • Pengguna tidak akan dapat masuk ke UI web MOVEit Transfer.
  • Tugas Otomasi MOVEit yang menggunakan host Transfer MOVEit asli tidak akan berfungsi.
  • REST, Java dan .NET API tidak akan berfungsi.
  • Add-in MOVEit Transfer untuk Outlook tidak akan berfungsi.
• Protokol SFTP dan FTP/s akan terus berfungsi seperti biasa

Perhatikan tambalan ketiga dalam saga ini, di mana kami berasumsi bahwa Progress akan memberikan izin untuk mengaktifkan kembali akses web…

… meskipun kami akan bersimpati jika Anda memutuskan untuk mematikannya lebih lama, hanya untuk memastikan, untuk memastikan.

---

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• Keuangan EVM. Antarmuka Terpadu untuk Keuangan Terdesentralisasi. Akses Di Sini.
• Grup Media Kuantum. IR/PR Diperkuat. Akses Di Sini.
• PlatoAiStream. Kecerdasan Data Web3. Pengetahuan Diperkuat. Akses Di Sini.
• Sumber: https://nakedsecurity.sophos.com/2023/06/15/moveit-mayhem-3-disable-http-and-https-traffic-immediately/