MOVEit lộn xộn 3: “Vô hiệu hóa lưu lượng HTTP và HTTPS ngay lập tức”

Lại thêm MOVEit lộn xộn!

“Vô hiệu hóa lưu lượng HTTP và HTTPS để MOVEit Transfer,” Progress Software nói, và khung thời gian để làm như vậy là "ngay lập tức", không nếu, không nhưng,

Progress Software là nhà sản xuất phần mềm chia sẻ tệp CHUYỂN CHUYỂN, và được lưu trữ MOVEit đám mây giải pháp thay thế dựa trên nó và đây là cảnh báo thứ ba trong vòng ba tuần về các lỗ hổng có thể bị tấn công trong sản phẩm của họ.

Vào cuối tháng 2023 năm XNUMX, bọn tội phạm tống tiền trên mạng có liên quan đến băng nhóm ransomware Clop đã bị phát hiện đang sử dụng phương pháp khai thác zero-day để đột nhập vào các máy chủ chạy giao diện người dùng web của sản phẩm MOVEit.

Bằng cách cố tình gửi các lệnh cơ sở dữ liệu SQL không đúng định dạng đến máy chủ MOVEit Tranfer thông qua cổng web của nó, bọn tội phạm có thể truy cập vào các bảng cơ sở dữ liệu mà không cần mật khẩu và cấy phần mềm độc hại cho phép chúng quay lại máy chủ bị xâm nhập sau này, ngay cả khi chúng đã được vá trong tạm thời.

We Giải thích cách vá và những gì bạn có thể tìm kiếm trong trường hợp kẻ gian đã ghé thăm bạn, vào đầu tháng 2023 năm XNUMX:

Khai thác MOVEit zero-day được sử dụng bởi các nhóm vi phạm dữ liệu: Cách thức, lý do và phải làm gì…

Những kẻ tấn công rõ ràng đã đánh cắp dữ liệu của công ty, chẳng hạn như chi tiết bảng lương của nhân viên và yêu cầu các khoản thanh toán tống tiền để đổi lấy việc “xóa” dữ liệu bị đánh cắp.

cảnh báo thứ hai

Cảnh báo đó đã được tiếp nối vào tuần trước bởi một bản cập nhật từ Progress Software để nói rằng, trong khi điều tra lỗ hổng zero-day mà họ đã vá, họ đã tìm thấy các lỗi lập trình tương tự ở những nơi khác trong mã.

Do đó, công ty đã xuất bản một vá thêm, kêu gọi khách hàng áp dụng các bản sửa lỗi mới này một cách chủ động, giả định rằng những kẻ lừa đảo (có bản vá đầu tiên đã vô hiệu hóa ngày số 0) cũng sẽ tích cực tìm kiếm những cách khác để quay trở lại.

Thêm các giảm thiểu MOVEit: các bản vá mới được xuất bản để bảo vệ thêm

Không có gì đáng ngạc nhiên khi những con bọ nhỏ thường tập trung lại với nhau, như chúng tôi đã giải thích trong Naked Security tuần này Podcast:

[Vào ngày 2023-06-09, Progress đưa ra] một bản vá khác để xử lý các lỗi tương tự mà theo như họ biết thì kẻ gian vẫn chưa tìm thấy (nhưng nếu chúng xem xét đủ kỹ thì có thể).

Và, nghe có vẻ kỳ lạ, khi bạn phát hiện ra rằng một phần cụ thể trong phần mềm của mình có một loại lỗi cụ thể, bạn không nên ngạc nhiên nếu khi tìm hiểu sâu hơn…

…bạn phát hiện ra rằng lập trình viên (hoặc nhóm lập trình đã làm việc với nó vào thời điểm mà lỗi mà bạn đã biết được giới thiệu) đã phạm các lỗi tương tự trong cùng một khoảng thời gian.

S3 Ep139: Mật khẩu có giống như chạy dưới trời mưa không?

Lần thứ ba không may mắn

Chà, có vẻ như tia sét vừa đánh vào cùng một chỗ lần thứ ba liên tiếp nhanh chóng.

Lần này, có vẻ như ai đó đã thực hiện điều được biết đến trong biệt ngữ là “tiết lộ đầy đủ” (trong đó các lỗi được tiết lộ với thế giới cùng lúc với nhà cung cấp, do đó khiến nhà cung cấp không có chỗ thở để chủ động xuất bản bản vá) , hoặc "giảm 0 ngày".

Tiến độ vừa báo cáo:

Hôm nay [2023-06-15], một bên thứ ba đã đăng công khai lỗ hổng [SQL injection] mới. Chúng tôi đã giảm lưu lượng HTTPS cho MOVEit Cloud do lỗ hổng mới được công bố và đang yêu cầu tất cả khách hàng của MOVEit Transfer ngay lập tức gỡ bỏ lưu lượng HTTP và HTTPS của họ để bảo vệ môi trường của họ trong khi bản vá được hoàn thiện. Chúng tôi hiện đang thử nghiệm bản vá và chúng tôi sẽ sớm cập nhật cho khách hàng.

Nói một cách đơn giản, có một khoảng thời gian XNUMX ngày ngắn ngủi mà một khai thác đang hoạt động được lưu hành, nhưng bản vá vẫn chưa sẵn sàng.

Như Progress đã đề cập trước đó, nhóm lỗi chèn lệnh này (nơi bạn gửi dữ liệu lẽ ra vô hại mà sau này được gọi dưới dạng lệnh hệ thống) chỉ có thể được kích hoạt thông qua cổng thông tin dựa trên web (HTTP hoặc HTTPS) của MOVEit .

May mắn thay, điều đó có nghĩa là bạn không cần tắt toàn bộ hệ thống MOVEit của mình mà chỉ cần truy cập dựa trên web.

Phải làm gì?

Trích dẫn từ Progress Software's tài liệu tư vấn ngày 2023-06-15:

Vô hiệu hóa tất cả lưu lượng HTTP và HTTP đối với môi trường MOVEit Transfer của bạn. Cụ thể hơn:

• Sửa đổi các quy tắc tường lửa để từ chối lưu lượng HTTP và HTTP đối với MOVEit Transfer trên các cổng 80 và 443.
• Điều quan trọng cần lưu ý là cho đến khi lưu lượng HTTP và HTTPS được bật lại:
  • Người dùng sẽ không thể đăng nhập vào giao diện người dùng web MOVEit Transfer.
  • Các tác vụ Tự động hóa MOVEit sử dụng máy chủ Truyền MOVEit gốc sẽ không hoạt động.
  • API REST, Java và .NET sẽ không hoạt động.
  • Bổ trợ MOVEit Transfer cho Outlook sẽ không hoạt động.
• Các giao thức SFTP và FTP/s sẽ tiếp tục hoạt động bình thường

Hãy chú ý đến bản vá thứ ba trong câu chuyện này, tại thời điểm đó, chúng tôi cho rằng Tiến độ sẽ cho phép bật lại quyền truy cập web…

…mặc dù chúng tôi sẽ thông cảm nếu bạn quyết định tắt nó thêm một thời gian nữa, chỉ để chắc chắn, để chắc chắn.

---

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• EVM tài chính. Giao diện hợp nhất cho tài chính phi tập trung. Truy cập Tại đây.
• Tập đoàn truyền thông lượng tử. Khuếch đại IR/PR. Truy cập Tại đây.
• PlatoAiStream. Thông minh dữ liệu Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• nguồn: https://nakedsecurity.sophos.com/2023/06/15/moveit-mayhem-3-disable-http-and-https-traffic-immediately/