עוד הקלות ב-MOVEit: תיקונים חדשים שפורסמו להגנה נוספת

גם אם אינך לקוח של MOVEit, וגם אם מעולם לא שמעתם על תוכנת שיתוף הקבצים של MOVEit לפני סוף החודש שעבר...

...אנחנו חושדים ששמעת על זה עכשיו.

הסיבה לכך היא ששם המותג MOVEit נמצא בכל רחבי ה-IT והמדיה המיינסטרים בשבוע האחרון בערך, עקב חור אבטחה מצער דיבוב CVE-2023-34362, שהתברר שזה מה שמכונה בז'רגון א אפס-יום חרק.

חור של אפס יום הוא חור שפושעי סייבר מצאו והבינו לפני שעדכוני אבטחה כלשהם היו זמינים, עם התוצאה שאפילו למנהלי המערכת הנלהבים והמהירים ביותר בעולם היו אפס ימים שבהם הם יכלו להקדים את הרעים .

למרבה הצער, במקרה של CVE-2023-34362, הנוכלים שהגיעו לשם ראשונים היו ככל הנראה חברי צוות תוכנת הכופר הידוע לשמצה של קלופ, כנופיית סחטני סייבר שגונבים מידע של קורבנות או מערבלים את הקבצים שלהם, ואז מאיימים על הקורבנות האלה בדרישה. כספי הגנה בתמורה לדחיקת הנתונים הגנובים, פענוח הקבצים ההרוסים או שניהם.

נתוני הגביע נשדדו

כפי שאתה יכול לדמיין, מכיוון שחור האבטחה הזה היה קיים בחזית הרשת של תוכנת MOVEit, ומכיוון ש-MOVEit עוסקת בהעלאה, שיתוף והורדה של קבצים ארגוניים בקלות, הפושעים הללו ניצלו לרעה את הבאג כדי לתפוס נתוני גביע כדי לתת מנוף סחיטה בעצמם על קורבנותיהם.

אפילו חברות שאינן עצמן משתמשי MOVEit, ככל הנראה קיבלו נתונים של עובדים פרטיים שנחשפו על ידי הבאג הזה, הודות לספקי שכר במיקור חוץ שהיו לקוחות MOVEit, ושמאגרי המידע שלהם של עובדי לקוחות נבזזו על ידי התוקפים.

(ראינו דיווחים על הפרות המשפיעות על עשרות או מאות אלפי עובדים במגוון פעולות באירופה ובצפון אמריקה, כולל ארגונים בתחום הבריאות, החדשות והנסיעות).

הזרקת SQL ו-WEBSHELL הוסברו

טלאים שפורסמו במהירות

יוצרי תוכנת MOVEit, Progress Software Corporation, מיהרו לעשות זאת לפרסם תיקונים ברגע שהם ידעו על קיומה של הפגיעות.

החברה גם שיתפה בעזרה רשימה נרחבת של מה שנקרא IoCs (אינדיקטורים של פשרה), כדי לעזור ללקוחות לחפש סימנים ידועים להתקפה גם לאחר שהם תיקנו.

אחרי הכל, בכל פעם שצץ באג שצוות פשעי סייבר ידוע לשמצה כבר ניצל למטרות מרושעות, תיקון לבד אף פעם לא מספיק.

מה אם היית אחד מהמשתמשים חסרי המזל שכבר נפרצו לפני שהחלת את העדכון?

גם מדבקות פרואקטיביות

ובכן, הנה נקודה של חדשות טובות אך דחופות מהמפתחים הנכאים ללא ספק ב-Progress Software: הם בדיוק פרסמו עוד טלאים עבור המוצר MOVEit Transfer.

ככל הידוע לנו, הפגיעויות שתוקנו הפעם אינן אפס ימים.

למעשה, הבאגים האלה כל כך חדשים, עד שבזמן כתיבת שורות אלה [2023-06-09T21:30:00Z] הם עדיין לא קיבלו מספר CVE.

הם כנראה באגים דומים ל-CVE-2023-34362, אבל הפעם נמצאו באופן יזום:

[פרוגרס] שיתפה פעולה עם מומחי אבטחת סייבר של צד שלישי כדי לבצע ביקורות קוד מפורטות נוספות כשכבת הגנה נוספת עבור הלקוחות שלנו. [... מצאנו] פגיעויות נוספות שעלולות לשמש שחקן גרוע כדי לביים ניצול. הפגיעויות החדשות שהתגלו נבדלות מהפגיעות שדווחה בעבר ששותפה ב-31 במאי 2023.

כפי שהתקדמות מציינת:

כל לקוחות MOVEit Transfer חייבים להחיל את התיקון החדש, שפורסם ב-9 ביוני 2023.

למידע רשמי על תיקונים נוספים אלה, אנו קוראים לך לבקר ב- סקירת התקדמות מסמך, כמו גם של החברה עצה ספציפית לגבי התיקון החדש.

כשחדשות טובות עוקבות אחרי רע

אגב, למצוא באג אחד בקוד שלך ואז מהר מאוד למצוא חבורה של באגים קשורים זה לא יוצא דופן, מכיוון שקל יותר למצוא פגמים (ואתה נוטה יותר לרצות לצוד אותם) ברגע שאתה יודע מה לחפש לחפש.

אז, למרות שזה אומר יותר עבודה עבור לקוחות MOVEit (שעשויים להרגיש שכבר יש להם מספיק על הצלחת שלהם), נגיד שוב שאנחנו מחשיבים את החדשות הטובות האלה, כי באגים סמויים שאם לא כן היו הופכים לאפסים יותר- חורי יום נסגרו כעת באופן יזום.

אגב, אם אתה מתכנת ואי פעם מוצא את עצמך רודף אחרי באג מסוכן כמו CVE-2023-34362...

…הוציאו דף מהספר של Progress Software, וחפשו במרץ אחר באגים אחרים שעלולים להיות קשורים בו-זמנית.

ציד איומים עבור לקוחות SOPHOS

עוד על סאגת MOVEIT

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• EVM Finance. ממשק מאוחד למימון מבוזר. גישה כאן.
• Quantum Media Group. IR/PR מוגבר. גישה כאן.
• PlatoAiStream. Web3 Data Intelligence. הידע מוגבר. גישה כאן.
• מקור: https://nakedsecurity.sophos.com/2023/06/09/more-moveit-mitigations-new-patches-published-for-further-protection/