MOVEit Mayhem 3: »Takoj onemogočite promet HTTP in HTTPS«

Še več MOVEit uničenja!

»Onemogoči promet HTTP in HTTPS za MOVEit Transfer,« pravi Progress Software, časovni okvir za to pa je “takoj”, no ifs, no buts,

Progress Software je izdelovalec programske opreme za skupno rabo datotek Prenos MOVEit, in gostovano MOVEit Cloud alternativa, ki temelji na njem, in to je njegovo tretje opozorilo v treh tednih o ranljivostih v njegovem izdelku, ki jih je mogoče vdreti.

Konec maja 2023 je bilo ugotovljeno, da so kriminalci kibernetskega izsiljevanja, povezani z združbo izsiljevalske programske opreme Clop, uporabljali izkoriščanje ničelnega dne za vdor v strežnike, na katerih se izvaja spletno sprednjo stran izdelka MOVEit.

By sending deliberately malformed SQL database commands to a MOVEit Tranfer server via its web portal, the criminals could access database tables without needing a password, and implant malware that allowed them to return to compromised servers later on, even if they’d been patched in the interim.

We razložiti kako popraviti in kaj lahko iščete, če bi vas prevaranti že obiskali v začetku junija 2023:

MOVEit zero-day exploit, ki ga uporabljajo tolpe za vdor v podatke: kako, zakaj in kaj storiti ...

Napadalci so očitno kradli podatke trofejne družbe, kot so podatki o plačilnih listah zaposlenih, in zahtevali izsiljevalska plačila v zameno za "brisanje" ukradenih podatkov.

Drugo opozorilo

That warning was followed, last week, by an update from Progress Software to say that, while investigating the zero-day hole that they’d already patched, they found similar programming flaws elsewhere in the code.

Podjetje je zato objavilo a nadaljnji obliž, urging customers to apply these new fixes proactively, assuming that the crooks (whose zero-day had just been rendered useless by the first patch) would also be keenly looking for other ways to get back in.

Več ublažitev MOVEit: objavljeni novi popravki za dodatno zaščito

Ni presenetljivo, da se hrošči pogosto zberejo skupaj, kot smo razložili v tem tednu v oddaji Gola varnost Podcast:

[On 2023-06-09, Progress put] another patch out to deal with similar bugs that, as far as they know, the crooks haven’t found yet (but if they looked hard enough, they might).

In ne glede na to, kako čudno se to sliši, ko ugotovite, da ima določen del vaše programske opreme napako določene vrste, ne bi smeli biti presenečeni, če ko se poglobite ...

... ugotovite, da je programer (ali programska ekipa, ki je delala na tem v času, ko se je pojavil hrošč, za katerega že poznate) zagrešil podobne napake približno ob istem času.

S3 Ep139: Ali so pravila gesel kot tek skozi dež?

Tretjič nesreča

No, strela je očitno že tretjič zaporedoma udarila v isto mesto.

Tokrat se zdi, kot da je nekdo izvedel tisto, kar v žargonu poznamo kot "popolno razkritje" (kjer so hrošči razkriti svetu istočasno kot prodajalcu, s čimer prodajalcu ni dal prostora za proaktivno objavo popravka). , ali "spuščanje 0-dneva".

Napredek je pravkar poročali:

Danes [2023-06-15] je tretja oseba javno objavila novo [SQL injection] ranljivost. Zaradi novo objavljene ranljivosti smo za MOVEit Cloud onemogočili promet HTTPS in prosimo vse stranke MOVEit Transfer, da nemudoma odstranijo svoj promet HTTP in HTTPS, da zaščitijo svoja okolja, medtem ko je popravek dokončan. Trenutno preizkušamo popravek in kmalu bomo posodobili stranke.

Preprosto povedano, obstaja kratko obdobje ničelnega dne, v katerem kroži delujoča izkoriščenost, vendar popravek še ni pripravljen.

As Progress has mentioned before, this group of so-called command injection bugs (where you send in what ought to be harmless data that later gets invoked as a system command) can only be triggered via MOVEit’s web-based (HTTP or HTTPS) portal.

Na srečo to pomeni, da vam ni treba zaustaviti celotnega sistema MOVEit, ampak samo spletni dostop.

Kaj storiti?

Citiranje iz Progress Software's svetovalni dokument z dne 2023-06-15:

Onemogočite ves promet HTTP in HTTPs v vašem okolju MOVEit Transfer. Natančneje:

• Spremenite pravila požarnega zidu, da zavrnete promet HTTP in HTTPs za MOVEit Transfer na vratih 80 in 443.
• Pomembno je upoštevati, da dokler promet HTTP in HTTPS nista ponovno omogočena:
  • Uporabniki se ne bodo mogli prijaviti v spletni uporabniški vmesnik MOVEit Transfer.
  • Naloge MOVEit Automation, ki uporabljajo izvornega gostitelja MOVEit Transfer, ne bodo delovale.
  • API-ji REST, Java in .NET ne bodo delovali.
  • Dodatek MOVEit Transfer za Outlook ne bo deloval.
• Protokola SFTP in FTP/s bosta še naprej normalno delovala

Bodite pozorni na tretji popravek v tej sagi, na kateri točki predvidevamo, da bo Progress dal dovoljenje za ponovni vklop spletnega dostopa ...

... čeprav bi vam sočustvovali, če bi se odločili, da ga še nekaj časa izključite, samo da se prepričate, da se prepričate.

---

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• EVM Finance. Poenoten vmesnik za decentralizirane finance. Dostopite tukaj.
• Quantum Media Group. IR/PR ojačan. Dostopite tukaj.
• PlatoAiStream. Podatkovna inteligenca Web3. Razširjeno znanje. Dostopite tukaj.
• vir: https://nakedsecurity.sophos.com/2023/06/15/moveit-mayhem-3-disable-http-and-https-traffic-immediately/