Zelfs als je geen MOVEit-klant bent, en zelfs als je voor het einde van vorige maand nog nooit van de MOVEit-software voor het delen van bestanden had gehoord...
… we vermoeden dat je er nu van hebt gehoord.
Dat komt omdat de merknaam MOVEit de afgelopen week overal in de IT- en reguliere media is geweest, vanwege een ongelukkig beveiligingslek nagesynchroniseerde CVE-2023-34362, wat bleek te zijn wat in het jargon bekend staat als een zero-day bug.
Een zero-day-lek is een gat dat cybercriminelen hebben gevonden en ontdekt voordat er beveiligingsupdates beschikbaar waren, met als resultaat dat zelfs de meest enthousiaste en snelwerkende systeembeheerders ter wereld nul dagen hadden waarin ze vóór de slechteriken hadden kunnen patchen .
Helaas, in het geval van CVE-2023-34362, waren de boeven die daar als eerste aankwamen blijkbaar leden van de beruchte Clop-ransomware-crew, een bende cyberafpersers die op verschillende manieren de gegevens van de slachtoffers stelen of hun bestanden versleutelen, en die slachtoffers vervolgens bedreigen door te eisen beschermingsgeld in ruil voor het onderdrukken van de gestolen gegevens, het decoderen van de geruïneerde bestanden, of beide.
Trofeegegevens geplunderd
Zoals je je kunt voorstellen, omdat dit beveiligingslek bestond in de web-front-end van de MOVEit-software, en omdat MOVEit draait om het gemakkelijk uploaden, delen en downloaden van bedrijfsbestanden, misbruikten deze criminelen de bug om trofeegegevens te bemachtigen om ze te geven zelf chanteren hun macht over hun slachtoffers.
Zelfs bedrijven die zelf geen MOVEit-gebruiker zijn, hebben blijkbaar persoonlijke werknemersgegevens blootgelegd door deze bug, dankzij uitbestede salarisadministratieproviders die MOVEit-klanten waren en wiens databases met klantpersoneelsgegevens door de aanvallers lijken te zijn geplunderd.
(We hebben meldingen gezien van inbreuken waarbij tien- of honderdduizenden medewerkers betrokken waren bij een reeks operaties in Europa en Noord-Amerika, waaronder organisaties in de gezondheidszorg, nieuws en reissector.)
SQL-INJECTIE EN WEBSHELLS UITGELEGD
Patches werden snel gepubliceerd
De makers van de MOVEit-software, Progress Software Corporation, waren er snel bij patches publiceren zodra ze wisten van het bestaan van de kwetsbaarheid.
Het bedrijf deelde ook behulpzaam een uitgebreide lijst met zogenaamde IoC's (indicatoren van compromis), om klanten te helpen zoeken naar bekende tekenen van een aanval, zelfs nadat ze gepatcht zijn.
Immers, wanneer er een bug opduikt die een beruchte cybercriminaliteit al heeft uitgebuit voor kwaadaardige doeleinden, is patchen alleen nooit genoeg.
Wat als u een van de ongelukkige gebruikers was die al was geschonden voordat u de update toepaste?
Proactieve patches ook
Welnu, hier is goed maar dringend nieuws van de ongetwijfeld belaagde ontwikkelaars bij Progress Software: ze hebben zojuist gepubliceerd nog meer pleisters voor het MOVEit Transfer-product.
Voor zover we weten, zijn de kwetsbaarheden die deze keer zijn verholpen geen zero-days.
Deze bugs zijn zelfs zo nieuw dat ze op het moment van schrijven [2023-06-09T21:30:00Z] nog steeds geen CVE-nummer hadden ontvangen.
Het zijn blijkbaar vergelijkbare bugs als CVE-2023-34362, maar deze keer proactief gevonden:
[Progress is] een partnerschap aangegaan met externe cyberbeveiligingsexperts om verdere gedetailleerde codebeoordelingen uit te voeren als een extra beschermingslaag voor onze klanten. [... We hebben] aanvullende kwetsbaarheden gevonden die mogelijk door een kwaadwillende persoon kunnen worden gebruikt om een exploit uit te voeren. Deze nieuw ontdekte kwetsbaarheden verschillen van de eerder gemelde kwetsbaarheid die op 31 mei 2023 werd gedeeld.
Zoals Progress opmerkt:
Alle MOVEit Transfer-klanten moeten de nieuwe patch toepassen, uitgebracht op 9 juni 2023.
Voor officiële informatie over deze aanvullende oplossingen raden we u aan om de Voortgangsoverzicht document, evenals die van het bedrijf specifiek advies over de nieuwe patch.
Wanneer goed nieuws slecht volgt
Overigens is het niet ongebruikelijk om één bug in je code te vinden en dan heel snel een aantal gerelateerde bugs te vinden, omdat fouten gemakkelijker te vinden zijn (en je bent eerder geneigd ze op te sporen) als je eenmaal weet wat je moet doen. zoeken.
Dus hoewel dit meer werk betekent voor MOVEit-klanten (die misschien het gevoel hebben dat ze al genoeg op hun bord hebben), zeggen we nogmaals dat we dit als goed nieuws beschouwen, omdat latente bugs die anders misschien nog meer nul- daggaten zijn nu proactief afgesloten.
Trouwens, als je een programmeur bent en je merkt ooit dat je een gevaarlijke bug zoals CVE-2023-34362 achtervolgt...
...neem een blad uit het boek van Progress Software en zoek tegelijkertijd krachtig naar andere mogelijk gerelateerde bugs.
BEDREIGINGSJACHT VOOR SOPHOS-KLANTEN
MEER OVER DE MOVEIT-SAGA
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- EVM Financiën. Uniforme interface voor gedecentraliseerde financiën. Toegang hier.
- Quantum Media Groep. IR/PR versterkt. Toegang hier.
- PlatoAiStream. Web3 gegevensintelligentie. Kennis versterkt. Toegang hier.
- Bron: https://nakedsecurity.sophos.com/2023/06/09/more-moveit-mitigations-new-patches-published-for-further-protection/
