MOVEit mayhem 3: „Natychmiast wyłącz ruch HTTP i HTTPS”

Jeszcze więcej chaosu w MOVEit!

„Wyłącz ruch HTTP i HTTPS do transferu MOVEit” mówi Progress Software, a ramy czasowe na to są "natychmiast", no ifs, no buts,

Progress Software jest producentem oprogramowania do udostępniania plików Przeniesienie MOVEiti hostowane MOVEit Chmura opartej na nim alternatywie i jest to trzecie ostrzeżenie w ciągu trzech tygodni dotyczące luk w zabezpieczeniach produktu, które można zhakować.

Pod koniec maja 2023 r. wykryto, że przestępcy zajmujący się cyberwyłudzeniami powiązani z gangiem ransomware Clop wykorzystywali exploita dnia zerowego do włamania się na serwery, na których działa interfejs sieciowy produktu MOVEit.

By sending deliberately malformed SQL database commands to a MOVEit Tranfer server via its web portal, the criminals could access database tables without needing a password, and implant malware that allowed them to return to compromised servers later on, even if they’d been patched in the interim.

We wyjaśnione jak załatać i czego szukać, gdyby oszuści już cię odwiedzili na początku czerwca 2023 r.:

Exploit dnia zerowego MOVEit wykorzystywany przez gangi zajmujące się kradzieżą danych: jak, dlaczego i co robić…

Napastnicy najwyraźniej kradli dane firmowe, takie jak dane płacowe pracowników, i żądali szantażu w zamian za „usunięcie” skradzionych danych.

Drugie ostrzeżenie

That warning was followed, last week, by an update from Progress Software to say that, while investigating the zero-day hole that they’d already patched, they found similar programming flaws elsewhere in the code.

W związku z tym firma opublikowała a dalszy patch, urging customers to apply these new fixes proactively, assuming that the crooks (whose zero-day had just been rendered useless by the first patch) would also be keenly looking for other ways to get back in.

Więcej środków łagodzących MOVEit: opublikowano nowe łatki w celu dalszej ochrony

Nic dziwnego, że robale z piór często gromadzą się razem, jak wyjaśniliśmy w tym tygodniu w Naked Security Podcast:

[On 2023-06-09, Progress put] another patch out to deal with similar bugs that, as far as they know, the crooks haven’t found yet (but if they looked hard enough, they might).

I choć brzmi to dziwnie, kiedy odkryjesz, że konkretna część twojego oprogramowania ma błąd określonego rodzaju, nie powinieneś być zaskoczony, jeśli kopiesz głębiej…

…odkrywasz, że programista (lub zespół programistów, który nad nim pracował w czasie, gdy pojawił się błąd, o którym już wiesz) popełnił podobne błędy mniej więcej w tym samym czasie.

S3 Odc.139: Czy zasady dotyczące haseł przypominają bieganie w deszczu?

Trzeci raz pechowo

Cóż, najwyraźniej piorun uderzył w to samo miejsce po raz trzeci w krótkim odstępie czasu.

Tym razem wygląda na to, że ktoś dokonał czegoś, co w żargonie jest znane jako „pełne ujawnienie” (gdzie błędy są ujawniane światu w tym samym czasie, co sprzedawcy, co nie daje sprzedawcy miejsca na wytchnienie, by proaktywnie opublikować łatkę) lub „pomijanie dnia 0”.

Postęp właśnie zgłaszane:

Dzisiaj [2023-06-15] strona trzecia opublikowała publicznie nową lukę w zabezpieczeniach [SQL injection]. Zrezygnowaliśmy z ruchu HTTPS w usłudze MOVEit Cloud w świetle nowo opublikowanej luki w zabezpieczeniach i prosimy wszystkich klientów usługi MOVEit Transfer o natychmiastowe wyłączenie ruchu HTTP i HTTPS w celu zabezpieczenia ich środowisk do czasu finalizacji poprawki. Obecnie testujemy poprawkę i wkrótce poinformujemy klientów.

Mówiąc najprościej, istnieje krótki okres zero-day, podczas którego krąży działający exploit, ale łatka nie jest jeszcze gotowa.

As Progress has mentioned before, this group of so-called command injection bugs (where you send in what ought to be harmless data that later gets invoked as a system command) can only be triggered via MOVEit’s web-based (HTTP or HTTPS) portal.

Na szczęście oznacza to, że nie musisz wyłączać całego systemu MOVEit, wystarczy dostęp przez Internet.

Co robić?

Cytując z Progress Software dokument porady z dnia 2023-06-15:

Wyłącz cały ruch HTTP i HTTPs do środowiska MOVEit Transfer. Dokładniej:

• Zmodyfikuj reguły zapory sieciowej, aby odmówić ruchu HTTP i HTTPS do MOVEit Transfer na portach 80 i 443.
• Należy pamiętać, że dopóki ruch HTTP i HTTPS nie zostanie ponownie włączony:
  • Użytkownicy nie będą mogli zalogować się do internetowego interfejsu użytkownika MOVEit Transfer.
  • Zadania automatyzacji MOVEit korzystające z natywnego hosta transferu MOVEit nie będą działać.
  • Interfejsy API REST, Java i .NET nie będą działać.
  • Dodatek MOVEit Transfer dla programu Outlook nie będzie działać.
• Protokoły SFTP i FTP/s będą nadal działać normalnie

Wypatrujcie trzeciej łatki z tej sagi, w której zakładamy, że Progress da wszystko jasne, aby ponownie włączyć dostęp do sieci…

... chociaż współczulibyśmy, gdybyś zdecydował się go wyłączyć na jakiś czas, tak dla pewności.

---

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• EVM Finanse. Ujednolicony interfejs dla zdecentralizowanych finansów. Dostęp tutaj.
• Quantum Media Group. Wzmocnienie IR/PR. Dostęp tutaj.
• PlatoAiStream. Analiza danych Web3. Wiedza wzmocniona. Dostęp tutaj.
• Źródło: https://nakedsecurity.sophos.com/2023/06/15/moveit-mayhem-3-disable-http-and-https-traffic-immediately/