MOVEit chaos 3: "Schakel HTTP- en HTTPS-verkeer onmiddellijk uit"

Nog meer MOVEit chaos!

"Schakel HTTP- en HTTPS-verkeer naar MOVEit Transfer uit", zegt Progress Software, en het tijdsbestek om dit te doen is "onmiddellijk", geen als, geen maar,

Progress Software is de maker van software voor het delen van bestanden MOVEit-overdracht, en de gehoste MOVEit-cloud alternatief dat daarop is gebaseerd, en dit is de derde waarschuwing in drie weken over hackbare kwetsbaarheden in zijn product.

Eind mei 2023 bleken cyberafpersingscriminelen die banden hadden met de Clop-ransomwarebende een zero-day-exploit te gebruiken om in te breken in servers waarop de webfront-end van het MOVEit-product draait.

Door opzettelijk verkeerd opgemaakte SQL-databaseopdrachten via het webportaal naar een MOVEit Tranfer-server te sturen, konden de criminelen toegang krijgen tot databasetabellen zonder dat ze een wachtwoord nodig hadden, en malware implanteren waarmee ze later konden terugkeren naar gecompromitteerde servers, zelfs als deze waren gepatcht. de tussentijd.

We uitgelegd hoe te patchen, en waar je op zou kunnen letten als de boeven je al een bezoek hadden gebracht, begin juni 2023:

MOVEit zero-day exploit gebruikt door datalekbendes: het hoe, het waarom en wat te doen...

De aanvallers hebben blijkbaar bedrijfsgegevens van trofeeën gestolen, zoals de salarisgegevens van werknemers, en chantagebetalingen geëist in ruil voor het "verwijderen" van de gestolen gegevens.

Tweede waarschuwing

Die waarschuwing werd vorige week gevolgd door een update van Progress Software waarin stond dat ze, tijdens het onderzoeken van het zero-day-gat dat ze al hadden gedicht, soortgelijke programmeerfouten elders in de code vonden.

Het bedrijf publiceerde daarom een verdere pleister, waarbij klanten worden aangespoord om deze nieuwe oplossingen proactief toe te passen, ervan uitgaande dat de boeven (wiens zero-day net door de eerste patch onbruikbaar was geworden) ook graag op zoek zouden zijn naar andere manieren om weer binnen te komen.

Meer MOVEit-beperkingen: nieuwe patches gepubliceerd voor verdere bescherming

Zoals we in de Naked Security van deze week hebben uitgelegd, is het niet verwonderlijk dat insecten van een veertje vaak samenkomen Podcast:

[Op 2023-06-09 bracht Progress] nog een patch uit om vergelijkbare bugs op te lossen die, voor zover zij weten, de boeven nog niet hebben gevonden (maar als ze goed genoeg zoeken, zou dat wel kunnen).

En, hoe raar dat ook klinkt, als je merkt dat een bepaald onderdeel van je software een bug van een bepaald soort bevat, zou je niet verbaasd moeten zijn als, als je dieper graaft...

... je merkt dat de programmeur (of het programmeerteam dat eraan werkte op het moment dat de bug die je al kent werd geïntroduceerd) rond dezelfde tijd soortgelijke fouten beging.

S3 Aflevering 139: Zijn wachtwoordregels net zoiets als door de regen rennen?

Derde keer pech

Nou, de bliksem is blijkbaar net voor de derde keer snel achter elkaar op dezelfde plaats ingeslagen.

Deze keer lijkt het alsof iemand heeft uitgevoerd wat in het jargon bekend staat als een "volledige openbaarmaking" (waarbij bugs tegelijkertijd aan de wereld worden onthuld als aan de verkoper, waardoor de verkoper geen ademruimte heeft om proactief een patch te publiceren) , of “het laten vallen van een 0-dag”.

Vooruitgang heeft net gerapporteerd:

Vandaag [2023-06-15] heeft een derde partij publiekelijk een nieuwe [SQL-injectie]-kwetsbaarheid gepost. We hebben het HTTPS-verkeer voor MOVEit Cloud stopgezet in het licht van de nieuw gepubliceerde kwetsbaarheid en vragen alle MOVEit Transfer-klanten om onmiddellijk hun HTTP- en HTTPS-verkeer te verwijderen om hun omgeving te beschermen terwijl de patch wordt afgerond. We zijn momenteel de patch aan het testen en we zullen klanten binnenkort een update sturen.

Simpel gezegd, er is een korte zero-day periode waarin een werkende exploit circuleert, maar de patch is nog niet klaar.

Zoals Progress eerder heeft vermeld, kan deze groep zogenaamde opdrachtinjectiebugs (waarbij u onschadelijke gegevens verzendt die later als systeemopdracht worden aangeroepen) alleen worden geactiveerd via het webgebaseerde (HTTP of HTTPS) portaal van MOVEit. .

Gelukkig betekent dit dat u niet uw hele MOVEit-systeem hoeft af te sluiten, alleen webgebaseerde toegang.

Wat te doen?

Citaat van Progress Software's advies document gedateerd 2023-06-15:

Schakel al het HTTP- en HTTPs-verkeer naar uw MOVEit Transfer-omgeving uit. Specifieker:

• Wijzig firewallregels om HTTP- en HTTPs-verkeer naar MOVEit Transfer op poorten 80 en 443 te weigeren.
• Het is belangrijk op te merken dat totdat HTTP- en HTTPS-verkeer weer is ingeschakeld:
  • Gebruikers kunnen zich niet aanmelden bij de webinterface van MOVEit Transfer.
  • MOVEit Automation-taken die de native MOVEit Transfer-host gebruiken, werken niet.
  • REST, Java en .NET API's zullen niet werken.
  • MOVEit Transfer-invoegtoepassing voor Outlook werkt niet.
• SFTP- en FTP/s-protocollen blijven normaal werken

Houd je ogen open voor de derde patch in deze saga, op welk punt we ervan uitgaan dat Progress alles duidelijk zal maken om webtoegang weer in te schakelen...

... hoewel we het zouden vinden als je zou besluiten om het nog een tijdje uit te laten staan, voor de zekerheid, voor de zekerheid.

---

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• EVM Financiën. Uniforme interface voor gedecentraliseerde financiën. Toegang hier.
• Quantum Media Groep. IR/PR versterkt. Toegang hier.
• PlatoAiStream. Web3 gegevensintelligentie. Kennis versterkt. Toegang hier.
• Bron: https://nakedsecurity.sophos.com/2023/06/15/moveit-mayhem-3-disable-http-and-https-traffic-immediately/