Η Progress προειδοποίησε τους πελάτες της MOVEit Transfer να περιορίσουν κάθε πρόσβαση HTTP στο περιβάλλον τους μετά την κοινοποίηση πληροφοριών σχετικά με μια νέα ευπάθεια SQL injection (SQLi) που έγινε χθες στο διαδίκτυο.

Δεν είναι ακόμη διαθέσιμο ένα patch για την αντιμετώπιση αυτού του νέου κρίσιμου σφάλματος ασφαλείας, ωστόσο, σύμφωνα με την εταιρεία, ένα τέτοιο patch βρίσκεται υπό δοκιμή και θα κυκλοφορήσει σύντομα.

“Η Progress ανακάλυψε μια ευπάθεια στο MOVEit Transfer που θα μπορούσε να οδηγήσει σε κλιμάκωση των προνομίων και πιθανή μη εξουσιοδοτημένη πρόσβαση στο περιβάλλον”, δήλωσε η Progress.

“Καταργήσαμε την κυκλοφορία HTTPS για το MOVEit Cloud υπό το φως της πρόσφατα δημοσιευμένης ευπάθειας και ζητάμε από όλους τους πελάτες του MOVEit Transfer να καταργήσουν αμέσως την κυκλοφορία HTTP και HTTPS για να προστατεύσουν τα περιβάλλοντά τους, ενώ η επιδιόρθωση ολοκληρώνεται”, προστίθεται.

Δείτε επίσης: Το Android malware GravityRAT κλέβει τα WhatsApp backup σας

Έως ότου κυκλοφορήσουν οι ενημερώσεις ασφαλείας για τις επηρεαζόμενες εκδόσεις MOVEit Transfer, η Progress συνιστά την τροποποίηση των κανόνων του firewall για την άρνηση της κυκλοφορίας HTTP και HTTP στο MOVEit Transfer στις θύρες 80 και 443 ως προσωρινή λύση.

Παρόλο που οι χρήστες δεν θα μπορούν πλέον να συνδεθούν στους λογαριασμούς τους μέσω του web UI, οι μεταφορές αρχείων θα εξακολουθούν να είναι διαθέσιμες, καθώς τα πρωτόκολλα SFTP και FTP/s θα συνεχίσουν να λειτουργούν όπως αναμένεται.

Οι διαχειριστές μπορούν επίσης να έχουν πρόσβαση στο MOVEit Transfer συνδέοντας τον διακομιστή των Windows μέσω remote desktop και στη συνέχεια μεταβαίνοντας στη διεύθυνση https://localhost/.

Ενώ η Progress δεν μοιράστηκε τη θέση όπου μοιράστηκαν οι λεπτομέρειες αυτού του νέου ελαττώματος SQLi, τουλάχιστον ένας ερευνητής ασφαλείας μοιράστηκε πληροφορίες στο Twitter σχετικά με αυτό που φαίνεται να είναι proof-of-concept exploit code για ένα νέο σφάλμα zero-day του MOVEit Transfer.

Δείτε επίσης: Κλοπή credentials: Τι είναι και πώς να προστατευτείτε;

Ο ερευνητής δήλωσε στο BleepingComputer ότι πιστεύει ότι αυτή η νέα προειδοποίηση από την Progress σχετίζεται με το PoC πάνω στο οποίο εργάζονται.

“Δεν έχω πετύχει το RCE. Αυτή η ευπάθεια δεν αποτελεί παράκαμψη οποιασδήποτε προηγούμενης ευπάθειας. Έχει τη δική της διαδρομή επίθεσης”, πρόσθεσε ο ερευνητής.

Το BleepingComputer πληροφορήθηκε επίσης ότι η ευπάθεια είχε ήδη αποκαλυφθεί στην Progress, με τη βοήθεια του ανώτερου ερευνητή ασφαλείας της Huntress, John Hammond. Αυτή η αποκάλυψη πιθανότατα προκάλεσε και την προειδοποίηση της εταιρείας.

Η σημερινή προειδοποίηση ακολουθεί μια άλλη συμβουλή που δημοσιεύθηκε την Παρασκευή, η οποία αποκάλυψε κρίσιμα τρωτά σημεία SQL injection που παρακολουθήθηκαν συλλογικά ως CVE-2023-35036 και ανακαλύφθηκαν μετά από έλεγχο ασφαλείας που ξεκίνησε στις 31 Μαΐου, όταν η Progress εξέδωσε ενημερώσεις κώδικα για ένα zero-day ελάττωμα (CVE-2023-34362) από τη συμμορία Clop ransomware σε επιθέσεις κλοπής δεδομένων.

Το CVE-2023-35036 επηρεάζει όλες τις εκδόσεις του MOVEit Transfer και επιτρέπει σε μη εξουσιοδοτημένους επιτιθέμενους να θέσουν σε κίνδυνο μη ενημερωμένους και εκτεθειμένους στο Διαδίκτυο servers, επιτρέποντάς τους έτσι να κλέψουν πληροφορίες πελατών.

Η συμμορία Clop ransomware ανέλαβε την ευθύνη για τις επιθέσεις CVE-2023-34362 και δήλωσε στο BleepingComputer ότι φέρεται να είχε παραβιάσει τους MOVEit servers “εκατοντάδων εταιρειών”.

Η Kroll βρήκε επίσης στοιχεία που αποδεικνύουν ότι ο Clop δοκιμάζει exploits για το zero-day του MOVEit που έχει πλέον επιδιορθωθεί από το 2021 και τρόπους για την εκροή δεδομένων που έχουν κλαπεί από παραβιασμένους διακομιστές MOVEit τουλάχιστον από τον Απρίλιο του 2022.

Η Clop έχει συνδεθεί με άλλες εκστρατείες ευρείας απήχησης με στόχο πλατφόρμες διαχειριζόμενης μεταφοράς αρχείων, συμπεριλαμβανομένης της παραβίασης των διακομιστών Accellion FTA τον Δεκέμβριο του 2020, των επιθέσεων SolarWinds Serv-U Managed File Transfer το 2021 και της ευρείας εκμετάλλευσης των διακομιστών GoAnywhere MFT τον Ιανουάριο του 2021.

Τα επηρεαζόμενα orgs εκβιάζονται

Την Τετάρτη, η συμμορία Clop άρχισε να εκβιάζει τους οργανισμούς που επλήγησαν από τις επιθέσεις κλοπής δεδομένων MOVEit, παραθέτοντας τα ονόματά τους στον ιστότοπο διαρροής δεδομένων του dark web.

Πέντε από τις εισηγμένες εταιρείες -η βρετανική πολυεθνική εταιρεία πετρελαίου και φυσικού αερίου Shell, το Πανεπιστήμιο της Τζόρτζια (UGA) και το Πανεπιστημιακό Σύστημα της Τζόρτζια (USG), η UnitedHealthcare Student Resources (UHSR), η Heidelberger Druck και η Landal Greenparks- επιβεβαίωσαν έκτοτε στο BleepingComputer ότι επηρεάστηκαν από τις επιθέσεις.

Άλλοι οργανισμοί που έχουν ήδη αποκαλύψει παραβιάσεις της MOVEit Transfer περιλαμβάνουν τη Zellis (και τους πελάτες της BBC, Boots, Aer Lingus και HSE της Ιρλανδίας), την Ofcam, την κυβέρνηση της Νέας Σκωτίας, την πολιτεία Missouri των ΗΠΑ, την πολιτεία του Ιλινόις των ΗΠΑ, το Πανεπιστήμιο του Ρότσεστερ, το Αμερικανικό Συμβούλιο Εσωτερικής Ιατρικής, την BORN Ontario και την Extreme Networks.

Σήμερα, ο αμερικανικός Οργανισμός Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) αποκάλυψε ότι αρκετές ομοσπονδιακές υπηρεσίες των ΗΠΑ είχαν παραβιαστεί, σύμφωνα με δημοσίευμα του CNN. Επιπλέον, δύο φορείς του Υπουργείου Ενέργειας των ΗΠΑ (DOE) παραβιάστηκαν επίσης, σύμφωνα με το Federal News Network.

Πηγή πληροφοριών: bleepingcomputer.com