Yine de MOVEit kargaşası!
"MOVEit Aktarımı için HTTP ve HTTPS trafiğini devre dışı bırakın" diyor Progress Software ve bunu yapmak için zaman çerçevesi "hemen", eğer yok, ama yok.
Progress Software, dosya paylaşım yazılımı üreticisidir HAREKET Transferive barındırılan MOVEit Bulut buna dayalı bir alternatif ve bu, ürünündeki hacklenebilir güvenlik açıkları hakkında üç hafta içinde üçüncü uyarısı.
Mayıs 2023'ün sonunda, Clop fidye yazılımı çetesiyle bağlantılı siber şantaj suçlularının, MOVEit ürününün web ön ucunu çalıştıran sunuculara girmek için sıfırıncı gün açığını kullandığı ortaya çıktı.
Suçlular, web portalı aracılığıyla bir MOVEit Transfer sunucusuna kasıtlı olarak hatalı biçimlendirilmiş SQL veritabanı komutları göndererek, veritabanı tablolarına parolaya ihtiyaç duymadan erişebilir ve yama uygulanmış olsalar bile daha sonra güvenliği ihlal edilmiş sunuculara geri dönmelerine izin veren kötü amaçlı yazılım yerleştirebilir. bu arada
Saldırganlar, görünüşe göre, çalışan maaş bordrosu ayrıntıları gibi ödül niteliğindeki şirket verilerini çalıyor ve çalınan verileri "silme" karşılığında şantaj ödemeleri talep ediyor.
We açıkladı nasıl yama yapılır ve dolandırıcılar 2023 Haziran'ının başında sizi zaten ziyaret etmişlerse ne arayabilirsiniz:
ikinci uyarı
Bu uyarıyı geçen hafta Progress Software'den bir güncelleme izledi.
Progress geliştiricileri yeni yama uyguladıkları sıfır gün deliğini araştırırken, kodun başka yerlerinde benzer programlama kusurlarını ortaya çıkardı.
Şirket bu nedenle bir yayın yayınladı. daha fazla yama, müşterileri bu yeni güncellemeyi proaktif bir şekilde uygulamaya teşvik ediyor ve dolandırıcıların (sıfır günü ilk yama tarafından işe yaramaz hale getirilmişti) aynı zamanda hevesle geri dönmek için başka yollar arayacaklarını varsayıyor.
Şaşırtıcı olmayan bir şekilde, bu haftaki Naked Security'de açıkladığımız gibi, böcekler genellikle bir araya toplanır. podcast:
[2023-06-09'da Progress], dolandırıcıların bildikleri kadarıyla henüz bulamadıkları (ancak yeterince dikkatli bakarlarsa bulabilirler) benzer hatalarla başa çıkmak için başka bir yama yayınladı.
Kulağa ne kadar tuhaf gelse de, yazılımınızın belirli bir bölümünde belirli türden bir hata olduğunu fark ettiğinizde, daha derine indiğinizde şaşırmamalısınız...
... programcının (veya zaten bildiğiniz hata ortaya çıktığında üzerinde çalışan programlama ekibinin) aynı zamanlarda benzer hatalar yaptığını görürsünüz.
Üçüncü kez şanssız
Görünüşe göre şimşek aynı yere arka arkaya üçüncü kez çarpmış.
Bu kez, sanki birisi jargonda "tam açıklama" olarak bilinen şeyi gerçekleştirmiş gibi görünüyor (hataların satıcıyla aynı anda dünyaya ifşa edilmesi, böylece satıcının proaktif olarak bir yama yayınlaması için nefes alma alanı bırakmaması) veya "0 günü düşürmek".
İlerleme sadece rapor:
Bugün [2023-06-15], bir üçüncü taraf yeni bir [SQL enjeksiyonu] güvenlik açığını herkese açık olarak yayınladı. Yeni yayınlanan güvenlik açığı ışığında MOVEit Cloud için HTTPS trafiğini kapattık ve tüm MOVEit Transfer müşterilerinden, yama tamamlanırken ortamlarını korumak için HTTP ve HTTPS trafiğini derhal kapatmalarını istiyoruz. Şu anda yamayı test ediyoruz ve müşterilerimizi kısa süre içinde güncelleyeceğiz.
Basitçe söylemek gerekirse, çalışır durumdaki bir istismarın dolaşımda olduğu kısa bir sıfır günlük dönem vardır, ancak yama henüz hazır değildir.
Progress'in daha önce de belirttiği gibi, bu sözde komut enjeksiyon hataları grubu (burada zararsız olması gereken verileri gönderirsiniz ve daha sonra bir sunucu komutu olarak çağrılır) HTTP veya HTTPS kullanılarak yalnızca MOVEit'in web tabanlı portalı aracılığıyla tetiklenebilir. istekler.
Neyse ki, bu, tüm MOVEit sisteminizi kapatmanız gerekmediği, yalnızca web tabanlı erişim anlamına gelir.
Ne yapalım?
Progress Software'den alıntı tavsiye belgesi 2023-06-15 tarihli:
MOVEit Transfer ortamınıza giden tüm HTTP ve HTTP trafiğini devre dışı bırakın. Daha spesifik olarak:
- 80 ve 443 numaralı bağlantı noktalarında MOVEit Transfer'e giden HTTP ve HTTP trafiğini reddetmek için güvenlik duvarı kurallarını değiştirin.
- HTTP ve HTTPS trafiği yeniden etkinleştirilene kadar şunlara dikkat etmek önemlidir:
- Kullanıcılar MOVEit Transfer web kullanıcı arayüzünde oturum açamaz.
- Yerel MOVEit Transfer ana bilgisayarını kullanan MOVEit Otomasyon görevleri çalışmayacaktır.
- REST, Java ve .NET API'leri çalışmayacaktır.
- Outlook için MOVEit Transfer eklentisi çalışmaz.
- SFTP ve FTP/s protokolleri normal şekilde çalışmaya devam edecek
Bu destanın üçüncü yaması için gözlerinizi dört açın, bu noktada İlerleme'nin web erişimini tekrar açmak için her şeyi açıklayacağını varsayıyoruz...
…yine de emin olmak için bir süre daha kapalı tutmaya karar verirseniz anlayışla karşılarız.
SOPHOS MÜŞTERİLERİ İÇİN TEHDİT AVLAMA İPUÇLARI
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- EVM Finans. Merkezi Olmayan Finans için Birleşik Arayüz. Buradan Erişin.
- Kuantum Medya Grubu. IR/PR Güçlendirilmiş. Buradan Erişin.
- PlatoAiStream. Web3 Veri Zekası. Bilgi Genişletildi. Buradan Erişin.
- Kaynak: https://nakedsecurity.sophos.com/2023/06/15/moveit-mayhem-3-disable-http-and-https-traffic-immediately/
