Auch wenn Sie kein MOVEit-Kunde sind und vor Ende letzten Monats noch nie von der Dateifreigabesoftware MOVEit gehört haben …
… wir vermuten, dass Sie inzwischen davon gehört haben.
Das liegt daran, dass der Markenname MOVEit seit etwa einer Woche in den IT- und Mainstream-Medien zu finden ist bedauerliche Sicherheitslücke synchronisiert CVE-2023-34362, was sich im Fachjargon als „a“ bezeichnet Zero-Day Fehler.
Eine Zero-Day-Lücke ist eine Lücke, die Cyberkriminelle entdeckt und erkannt haben, bevor Sicherheitsupdates verfügbar waren, mit dem Ergebnis, dass selbst die eifrigsten und reaktionsschnellsten Systemadministratoren der Welt null Tage hatten, an denen sie vor den Bösewichten hätten patchen können .
Bedauerlicherweise waren im Fall von CVE-2023-34362 die Betrüger, die zuerst dort ankamen, offenbar Mitglieder der berüchtigten Clop-Ransomware-Crew, einer Bande von Cyber-Erpressern, die auf verschiedene Weise die Daten der Opfer stehlen oder ihre Dateien verschlüsseln und diese Opfer dann mit Forderungen bedrohen Schutzgeld als Gegenleistung für die Unterdrückung der gestohlenen Daten, die Entschlüsselung der zerstörten Dateien oder beides.
Trophäendaten geplündert
Wie Sie sich vorstellen können, haben diese Kriminellen den Fehler missbraucht, um an Trophäendaten zu gelangen, da diese Sicherheitslücke im Web-Frontend der MOVEit-Software bestand und es bei MOVEit um das einfache Hochladen, Teilen und Herunterladen von Unternehmensdateien geht Sie erpressen selbst Druck auf ihre Opfer.
Sogar Unternehmen, die selbst keine MOVEit-Benutzer sind, sind offenbar durch diesen Fehler in die Offenlegung privater Mitarbeiterdaten geraten, dank ausgelagerter Lohn- und Gehaltsabrechnungsanbieter, die MOVEit-Kunden waren und deren Datenbanken mit Kundenpersonaldaten offenbar von den Angreifern geplündert wurden.
(Wir haben Berichte über Verstöße gesehen, von denen Zehntausende oder Hunderttausende Mitarbeiter in einer Reihe von Betrieben in Europa und Nordamerika betroffen waren, darunter Organisationen im Gesundheits-, Nachrichten- und Reisesektor.)
SQL-INJEKTION UND WEBSHELLS ERKLÄRT
Patches wurden schnell veröffentlicht
Die Entwickler der MOVEit-Software, Progress Software Corporation, waren schnell dabei Patches veröffentlichen sobald sie von der Existenz der Sicherheitslücke wussten.
Das Unternehmen hat außerdem hilfreicherweise eine umfangreiche Liste sogenannter IoCs (Indikatoren für eine Kompromittierung), um Kunden dabei zu helfen, auch nach dem Patchen nach bekannten Anzeichen eines Angriffs zu suchen.
Denn wenn ein Fehler auftaucht, den eine berüchtigte Cybercrime-Truppe bereits für böse Zwecke ausgenutzt hat, reicht das Patchen allein nie aus.
Was wäre, wenn Sie zu den unglücklichen Benutzern gehören würden, die bereits vor der Installation des Updates von der Sicherheitsverletzung betroffen waren?
Auch proaktive Patches
Nun, hier sind einige gute, aber dringende Neuigkeiten von den zweifellos bedrängten Entwicklern von Progress Software: Sie haben sie gerade veröffentlicht noch mehr Patches für das Produkt MOVEit Transfer.
Soweit wir wissen, handelt es sich bei den dieses Mal behobenen Schwachstellen nicht um Zero-Day-Schwachstellen.
Tatsächlich sind diese Fehler so neu, dass sie zum Zeitpunkt des Schreibens [2023-06-09T21:30:00Z] noch keine CVE-Nummer erhalten hatten.
Es handelt sich offenbar um ähnliche Fehler wie CVE-2023-34362, dieses Mal wurden sie jedoch proaktiv gefunden:
[Progress hat] mit externen Cybersicherheitsexperten zusammengearbeitet, um weitere detaillierte Codeüberprüfungen als zusätzliche Schutzebene für unsere Kunden durchzuführen. […Wir haben] zusätzliche Schwachstellen gefunden, die möglicherweise von einem böswilligen Akteur zum Inszenieren eines Exploits ausgenutzt werden könnten. Diese neu entdeckten Schwachstellen unterscheiden sich von der zuvor gemeldeten Schwachstelle, die am 31. Mai 2023 bekannt gegeben wurde.
Wie Progress feststellt:
Alle MOVEit Transfer-Kunden müssen den neuen Patch anwenden, der am 9. Juni 2023 veröffentlicht wird.
Für offizielle Informationen zu diesen zusätzlichen Korrekturen empfehlen wir Ihnen, die zu besuchen Fortschrittsübersicht Dokument sowie das des Unternehmens konkrete Beratung über den neuen Patch.
Wenn gute Nachrichten auf schlechte folgen
Übrigens ist es nicht ungewöhnlich, einen Fehler in Ihrem Code zu finden und dann sehr schnell eine Reihe verwandter Fehler zu finden, da Fehler leichter zu finden sind (und Sie eher geneigt sind, sie aufzuspüren), wenn Sie wissen, was zu tun ist Suche.
Auch wenn dies also mehr Arbeit für MOVEit-Kunden bedeutet (die möglicherweise das Gefühl haben, dass sie bereits genug zu tun haben), sagen wir noch einmal, dass wir über diese gute Nachricht nachdenken, denn latente Fehler, die sich andernfalls möglicherweise in noch mehr Null-Fehler verwandelt hätten, Tageslöcher wurden inzwischen proaktiv geschlossen.
Übrigens, wenn Sie Programmierer sind und jemals einem gefährlichen Fehler wie CVE-2023-34362 nachjagen …
…lesen Sie sich das Buch von Progress Software durch und suchen Sie gleichzeitig energisch nach anderen potenziell damit zusammenhängenden Fehlern.
Bedrohungssuche für SOPHOS-Kunden
MEHR ÜBER DIE MOVEIT SAGA
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- EVM-Finanzen. Einheitliche Schnittstelle für dezentrale Finanzen. Hier zugreifen.
- Quantum Media Group. IR/PR verstärkt. Hier zugreifen.
- PlatoAiStream. Web3-Datenintelligenz. Wissen verstärkt. Hier zugreifen.
- Quelle: https://nakedsecurity.sophos.com/2023/06/09/more-moveit-mitigations-new-patches-published-for-further-protection/
