Ще більше MOVEit хаосу!
«Вимкнути трафік HTTP та HTTPS для MOVEit Transfer» каже Progress Software, а часові рамки для цього «негайно», немає якщо, немає але,
Progress Software є виробником програмного забезпечення для обміну файлами Передача MOVEit, і розміщений MOVEit Cloud альтернатива, яка базується на ньому, і це його третє попередження за три тижні про хакерські вразливості в його продукті.
Наприкінці травня 2023 року було виявлено, що зловмисники-кібервимагачі, пов’язані з бандою програм-вимагачів Clop, використовували експлойт нульового дня для злому серверів, на яких запущено веб-інтерфейс продукту MOVEit.
Надсилаючи навмисно неправильно сформовані команди бази даних SQL на сервер MOVEit Tranfer через його веб-портал, зловмисники могли отримувати доступ до таблиць бази даних, не потребуючи пароля, і імплантувати зловмисне програмне забезпечення, яке дозволяло їм повернутися на скомпрометовані сервери пізніше, навіть якщо вони були виправлені. проміжний.
We пояснені як виправляти та що ви можете шукати, якщо шахраї вже навідалися до вас на початку червня 2023 року:
Експлойт нульового дня MOVEit, який використовують угруповання зловмисників: як, чому та що робити…
Очевидно, зловмисники викрадали дані трофейної компанії, такі як відомості про заробітну плату співробітників, і вимагали шантажу в обмін на «видалення» вкрадених даних.
Друге попередження
За цим попередженням минулого тижня з’явилося оновлення від Progress Software, у якому говорилося, що під час дослідження діри нульового дня, яку вони вже виправили, вони виявили подібні недоліки програмування в інших частинах коду.
Тому компанія опублікувала a подальший патч, закликаючи клієнтів завчасно застосовувати ці нові виправлення, припускаючи, що шахраї (чий нульовий день щойно став марним першим патчем) також завзято шукатимуть інші способи повернутися.
Більше засобів захисту від MOVEit: опубліковано нові виправлення для додаткового захисту
Не дивно, що жуки пір’я часто збираються разом, як ми пояснювали цього тижня в Naked Security Подкаст:
[2023-06-09, Progress put] ще один патч для усунення подібних помилок, які, наскільки їм відомо, шахраї ще не знайшли (але якби вони досить старанно шукали, могли б).
І, як би дивно це не звучало, коли ви виявляєте, що певна частина вашого програмного забезпечення містить помилку певного типу, ви не повинні дивуватися, якщо копнувши глибше...
…ви виявляєте, що програміст (або команда програмістів, яка працювала над цим у той час, коли виникла помилка, про яку ви вже знаєте), припустився подібних помилок приблизно в той самий час.
Третій раз не пощастило
Ну, очевидно, блискавка вдарила в те саме місце втретє поспіль.
Цього разу здається, ніби хтось виконав те, що на жаргоні називається «повним розкриттям» (де помилки відкриваються світові одночасно з постачальником, таким чином не даючи постачальнику можливості завчасно опублікувати виправлення). , або «скидання 0-дня».
Прогрес тільки що повідомляє:
Сьогодні [2023-06-15] третя сторона публічно опублікувала нову вразливість [SQL injection]. Ми вимкнули трафік HTTPS для MOVEit Cloud у світлі нещодавно опублікованої вразливості та просимо всіх клієнтів MOVEit Transfer негайно вимкнути свій трафік HTTP та HTTPS, щоб захистити своє середовище, доки завершується виправлення. Зараз ми тестуємо патч і незабаром оновимо клієнтів.
Простіше кажучи, є короткий період нульового дня, протягом якого циркулює робочий експлойт, але патч ще не готовий.
Як уже згадував Progress, цю групу так званих помилок ін’єкції команд (де ви надсилаєте нешкідливі дані, які пізніше викликаються як системна команда) можна запустити лише через веб-портал MOVEit (HTTP або HTTPS). .
На щастя, це означає, що вам не потрібно вимикати всю систему MOVEit, а лише веб-доступ.
Що ж робити?
Цитата з Progress Software консультаційний документ від 2023-06-15:
Вимкніть увесь трафік HTTP та HTTPs до середовища MOVEit Transfer. Більш конкретно:
- Змініть правила брандмауера, щоб заборонити трафік HTTP і HTTPs для MOVEit Transfer на портах 80 і 443.
- Важливо зауважити, що доки трафік HTTP та HTTPS не буде знову ввімкнено:
- Користувачі не зможуть увійти до веб-інтерфейсу MOVEit Transfer.
- Завдання MOVEit Automation, які використовують власний хост MOVEit Transfer, не працюватимуть.
- REST, Java і .NET API не працюватимуть.
- Надбудова MOVEit Transfer для Outlook не працюватиме.
- Протоколи SFTP і FTP/s працюватимуть у звичайному режимі
Слідкуйте за третім патчем у цій сазі, і ми припускаємо, що в цей момент Progress дасть дозвіл на відновлення доступу до Інтернету…
…хоча ми будемо співчувати, якщо ви вирішите залишити це вимкнутим ще деякий час, щоб бути впевненим, щоб бути впевненим.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- EVM Фінанси. Уніфікований інтерфейс для децентралізованих фінансів. Доступ тут.
- Quantum Media Group. ІЧ/ПР посилений. Доступ тут.
- PlatoAiStream. Web3 Data Intelligence. Розширення знань. Доступ тут.
- джерело: https://nakedsecurity.sophos.com/2023/06/15/moveit-mayhem-3-disable-http-and-https-traffic-immediately/
- : має
- :є
- : ні
- :де
- 1
- 15%
- 2023
- 25
- 80
- a
- Здатний
- МЕНЮ
- абсолют
- доступ
- знову
- ВСІ
- вже
- Також
- альтернатива
- an
- та
- Інший
- Інтерфейси
- Застосовувати
- ЕСТЬ
- навколо
- AS
- асоційований
- At
- автор
- автоматичний
- Автоматизація
- назад
- фонове зображення
- заснований
- BE
- було
- перед тим
- Шантаж
- border
- дно
- порушення
- Перерва
- дихання
- Помилка
- помилки
- але
- by
- CAN
- випадок
- Центр
- циркулює
- хмара
- код
- color
- вчинено
- компанія
- Компрометація
- продовжувати
- може
- обкладинка
- злочинці
- В даний час
- Клієнти
- кібервимагання
- дані
- Дані порушення
- Database
- датований
- угода
- вирішене
- вимогливий
- деталі
- DIG
- дисплей
- do
- справи
- Не знаю
- вниз
- під час
- в іншому місці
- Співробітник
- включений
- кінець
- досить
- Весь
- Навколишнє середовище
- середовищах
- помилки
- Навіть
- пояснені
- Експлуатувати
- очі
- далеко
- завершено
- знайти
- брандмауер
- Перший
- недоліки
- Flock
- потім
- для
- знайдений
- від
- далі
- Банда
- Банди
- отримати
- Давати
- дає
- Group
- було
- Жорсткий
- Мати
- висота
- Hole
- господар
- відбувся
- hover
- Як
- How To
- HTTP
- HTTPS
- if
- негайно
- важливо
- in
- в
- введені
- викликали
- IT
- ЙОГО
- жаргон
- Java
- червень
- просто
- тримати
- Знати
- відомий
- останній
- пізніше
- залишити
- світло
- блискавка
- як
- журнал
- довше
- подивитися
- подивився
- шукати
- виробник
- шкідливих програм
- Маржа
- макс-ширина
- Може..
- засоби
- згаданий
- може бути
- більше
- Гола безпека
- рідний
- Необхідність
- нужденних
- мережу
- Нові
- нещодавно
- немає
- нормальний
- of
- часто
- on
- тільки
- or
- Інше
- з
- прогноз
- оплачувану
- частина
- приватність
- Пароль
- пластир
- Патчі
- Пол
- платежі
- Платіжна відомість
- виконується
- period
- місце
- plato
- Інформація про дані Платона
- PlatoData
- точка
- Портал
- положення
- розміщені
- Пости
- Product
- Програміст
- Програмування
- прогрес
- протоколи
- публічно
- публікувати
- опублікований
- put
- Швидко
- RAIN
- вимагачів
- готовий
- відносний
- повертати
- Показали
- право
- Кімната
- Правила
- біг
- сага
- то ж
- say
- говорить
- безпеку
- Здається,
- послати
- відправка
- Сервери
- Незабаром
- Вимикати
- аналогічний
- So
- Софтвер
- solid
- Хтось
- конкретно
- старт
- вкрали
- такі
- здивований
- SVG
- система
- Приймати
- прийняті
- завдання
- команда
- Тестування
- Що
- Команда
- світ
- їх
- Їх
- отже
- Ці
- вони
- третій
- третя сторона
- це
- хоча?
- три
- через
- час
- терміни
- до
- разом
- топ
- трафік
- переклад
- перехід
- прозорий
- спрацьовує
- ПЕРЕГЛЯД
- Опинився
- ui
- до
- Оновити
- переконуючи
- URL
- використання
- використовуваний
- використання
- продавець
- через
- візит
- Уразливості
- вразливість
- попередження
- було
- способи
- we
- Web
- Web-Based
- week
- тижня
- були
- Що
- коли
- який
- в той час як
- ВООЗ
- чий
- чому
- ширина
- волі
- з
- без
- Work
- працював
- робочий
- світ
- б
- ще
- Ти
- вашу
- зефірнет
