Kevesebb mint egy nappal azután, hogy a Progress nyilvánosságra hozta a MOVEit Transfer kritikus hitelesítés megkerülési hibáját, aktív kihasználási kísérleteket jelentettek.
A MOVEit Transfer egy menedzselt fájlátviteli (MFT) megoldás, amelyet vállalati környezetben használnak az üzleti partnerek és ügyfelek közötti biztonságos fájlátvitelre, az SFTP, SCP és HTTP protokollok segítségével.
A CVE-2024-5806 lehetővé teszi a támadók számára a hitelesítési folyamat megkerülését a Secure File Transfer Protocol (SFTP) modulban, amely az SSH-n keresztüli fájlátviteli műveletekért felelős. A hibát kihasználó támadó hozzáférhet a MOVEit Transfer kiszolgálón tárolt érzékeny adatokhoz, fájlokat tölthet fel és le, törölhet vagy módosíthat, valamint a fájlátvitelt elfoghatja vagy manipulálhatja.
A Shadowserver Foundation fenyegetésfigyelő platform nem sokkal a Progress által a CVE-2024-5806-ra vonatkozó közlemény közzététele után jelentett kihasználási kísérleteket, tehát a hackerek már támadják a sebezhető végpontokat. A hálózati vizsgálatok azt mutatják, hogy jelenleg körülbelül 2700 internetnek kitett MOVEit Transfer példány van, azonban nem ismert azoknak az aránya, akik nem alkalmazták a biztonsági frissítéseket és/vagy a harmadik fél által okozott hiba javasolt enyhítését.
A watchTowr biztonsági cég technikai részleteket tett közzé a sebezhetőségről, arról, hogyan lehet kihasználni (PoC), és mit kell keresniük a rendszergazdáknak a naplókban, a kihasználás jelei után kutatva. Ezen információk megjelenésével a támadások minden bizonnyal felgyorsulnak a következő napokban, így a szervezetek számára kulcsfontosságú, hogy a lehető leghamarabb alkalmazzák a kapcsolódó biztonsági frissítéseket és enyhítéseket.
A CVE-2024-5806 a következő termékverziókat érinti:
- 0.0 – 2023.0.11
- 1.0 – 2023.1.6
- 0.0.0 – 2024.0.2
A javítások a Progress közösségi portálon elérhetővé váltak.
A karbantartási szerződéssel nem rendelkező ügyfeleknek a probléma megoldása érdekében azonnal kapcsolatba kell lépniük a megújítási csapattal (Renewals team) vagy a Progress partner képviselőjével.
A MOVEit Cloud ügyfeleknek nem kell semmilyen intézkedést tenniük a kritikus hiba enyhítése érdekében, mivel a javítások már automatikusan telepítésre kerültek.
A Progress megjegyzi, hogy egy különálló sebezhetőséget is felfedezett a MOVEit Transferben használt harmadik féltől származó komponensben, ami növeli a CVE-2024-5806-hoz kapcsolódó kockázatokat.
A sérülékenység mérséklése érdekében, amíg a harmadik féltől származó javítás elérhetővé nem válik, a rendszergazdáknak ajánlott a MOVEit Transfer szerverekhez való RDP (Remote Desktop Protocol) hozzáférés blokkolása és a kimenő kapcsolatok ismert/megbízható végpontokra való korlátozása.
A Progress egy hasonló hitelesítés megkerülési problémáról, a CVE-2024-5805-höz is kiadott egy biztonsági közleményt, amely a MOVEit Gateway 2024.0.0-t érinti.
