Noch mehr MOVEit-Chaos!
„Deaktivieren Sie den HTTP- und HTTPS-Verkehr zu MOVEit Transfer.“ sagt Progress Software, und der Zeitrahmen dafür ist "sofort", kein Wenn, kein Aber.
Progress Software ist der Hersteller von File-Sharing-Software MOVEit-Übertragung, und die gehostete MOVEit Cloud Alternative, die darauf basiert, und dies ist die dritte Warnung in drei Wochen vor hackbaren Schwachstellen in ihrem Produkt.
Ende Mai 2023 wurde festgestellt, dass Cyber-Erpressungskriminelle im Zusammenhang mit der Clop-Ransomware-Bande einen Zero-Day-Exploit nutzten, um in Server einzudringen, auf denen das Web-Frontend des MOVEit-Produkts läuft.
Durch das Senden absichtlich manipulierter SQL-Datenbankbefehle an einen MOVEit Transfer-Server über dessen Webportal konnten die Kriminellen auf Datenbanktabellen zugreifen, ohne ein Passwort zu benötigen, und Malware einschleusen, die es ihnen ermöglichte, später zu kompromittierten Servern zurückzukehren, selbst wenn diese gepatcht worden waren die Zwischenzeit.
Offenbar haben die Angreifer wichtige Unternehmensdaten, etwa die Gehaltsdaten der Mitarbeiter, gestohlen und als Gegenleistung für die „Löschung“ der gestohlenen Daten Erpressungszahlungen verlangt.
We erklärt wie man patcht und worauf man achten kann, falls die Gauner bereits Anfang Juni 2023 bei Ihnen vorbeigeschaut haben:
Zweite Warnung
Auf diese Warnung folgte letzte Woche ein Update von Progress Software.
Bei der Untersuchung der Zero-Day-Lücke, die sie gerade gepatcht hatten, entdeckten die Progress-Entwickler ähnliche Programmierfehler an anderer Stelle im Code.
Das Unternehmen veröffentlichte daher a weiterer Patch, und fordert die Kunden auf, dieses neue Update proaktiv anzuwenden, in der Annahme, dass die Gauner (deren Zero-Day-Programm durch den ersten Patch gerade unbrauchbar geworden war) auch eifrig nach anderen Wegen suchen würden, wieder einzusteigen.
Es ist nicht überraschend, dass sich Käfer einer Feder oft zusammentun, wie wir in der Ausgabe von Naked Security dieser Woche erklärt haben Podcast:
[Am 2023 veröffentlichte Progress] einen weiteren Patch, um ähnliche Fehler zu beheben, die die Gauner ihres Wissens noch nicht gefunden haben (aber wenn sie genau hinschauen, könnten sie es vielleicht).
Und so seltsam das auch klingen mag: Wenn Sie feststellen, dass ein bestimmter Teil Ihrer Software einen Fehler einer bestimmten Art aufweist, sollten Sie sich nicht wundern, wenn Sie genauer hinschauen …
…Sie stellen fest, dass der Programmierer (oder das Programmierteam, das zu dem Zeitpunkt, als der Ihnen bereits bekannte Fehler auftrat, daran gearbeitet hat) ungefähr zur gleichen Zeit ähnliche Fehler begangen hat.
Zum dritten Mal unglücklich
Nun ja, offenbar ist gerade zum dritten Mal in kurzer Folge ein Blitz an derselben Stelle eingeschlagen.
Diesmal sieht es so aus, als ob jemand etwas getan hat, was im Fachjargon als „vollständige Offenlegung“ bekannt ist (wobei Fehler gleichzeitig der Welt und dem Anbieter offengelegt werden, sodass der Anbieter keinen Spielraum hat, proaktiv einen Patch zu veröffentlichen). oder „einen 0-Tag fallen lassen“.
Der Fortschritt hat gerade stattgefunden berichtet:
Heute [2023] hat ein Dritter öffentlich eine neue [SQL-Injection]-Schwachstelle veröffentlicht. Wir haben den HTTPS-Verkehr für MOVEit Cloud angesichts der neu veröffentlichten Schwachstelle deaktiviert und bitten alle MOVEit Transfer-Kunden, ihren HTTP- und HTTPS-Verkehr sofort zu deaktivieren, um ihre Umgebungen zu schützen, während der Patch fertiggestellt ist. Wir testen den Patch derzeit und werden die Kunden in Kürze informieren.
Einfach ausgedrückt: Es gibt einen kurzen Zero-Day-Zeitraum, in dem ein funktionierender Exploit im Umlauf ist, aber der Patch ist noch nicht fertig.
Wie Progress bereits erwähnt hat, kann diese Gruppe sogenannter Befehlsinjektionsfehler (bei denen Sie eigentlich harmlose Daten einsenden, die später als Serverbefehl aufgerufen werden) nur über das webbasierte Portal von MOVEit unter Verwendung von HTTP oder HTTPS ausgelöst werden Anfragen.
Glücklicherweise bedeutet das, dass Sie nicht Ihr gesamtes MOVEit-System herunterfahren müssen, sondern nur einen webbasierten Zugriff.
Was ist zu tun?
Zitat von Progress Software Beratungsdokument vom 2023:
Deaktivieren Sie den gesamten HTTP- und HTTPs-Verkehr zu Ihrer MOVEit Transfer-Umgebung. Genauer:
- Ändern Sie die Firewallregeln, um HTTP- und HTTPs-Verkehr zu MOVEit Transfer auf den Ports 80 und 443 zu verweigern.
- Es ist wichtig zu beachten, dass bis zur erneuten Aktivierung des HTTP- und HTTPS-Verkehrs Folgendes gilt:
- Benutzer können sich nicht bei der MOVEit Transfer-Web-Benutzeroberfläche anmelden.
- MOVEit Automation-Aufgaben, die den nativen MOVEit Transfer-Host verwenden, funktionieren nicht.
- REST-, Java- und .NET-APIs funktionieren nicht.
- Das MOVEit Transfer-Add-in für Outlook funktioniert nicht.
- Die Protokolle SFTP und FTP/s funktionieren weiterhin wie gewohnt
Halten Sie Ausschau nach dem dritten Patch dieser Saga. Wir gehen davon aus, dass Progress zu diesem Zeitpunkt Entwarnung geben wird, den Webzugriff wieder zu aktivieren …
…obwohl wir es bedauern würden, wenn Sie es sicherheitshalber noch eine Weile ausgeschaltet lassen würden.
TIPPS ZUR BEDROHUNGSSUCHE FÜR SOPHOS-KUNDEN
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- EVM-Finanzen. Einheitliche Schnittstelle für dezentrale Finanzen. Hier zugreifen.
- Quantum Media Group. IR/PR verstärkt. Hier zugreifen.
- PlatoAiStream. Web3-Datenintelligenz. Wissen verstärkt. Hier zugreifen.
- Quelle: https://nakedsecurity.sophos.com/2023/06/15/moveit-mayhem-3-disable-http-and-https-traffic-immediately/
