Az Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) egy aktívan kihasznált, kritikus nulladik napi sebezhetőségről (CVE-2023-34362) adott ki riasztást a Progress Software MOVEit Transfer nevű fájlcserélő alkalmazás kapcsán.
A MOVEit-et az érzékeny adatok automatizált fájlátvitelére hozták létre, valamint arra, hogy fejlett munkafolyamat-automatizálási képességeket biztosítson szkriptelés nélkül. Állításuk szerint a titkosítás és a tevékenységkövetés lehetővé teszi az olyan szabályozásoknak való megfelelést, mint a PCI, a HIPAA és a GDPR.
SQL injekciós sebezhetőséget találtak a MOVEit Transfer webes alkalmazásban, amely lehetővé teszi a támadó számára, hogy a hitelesítés megkerülésével jogosulatlan hozzáférést szerezzen a MOVEit Transfer adatbázisához. A használt adatbázismotortól (MySQL, Microsoft SQL Server vagy Azure SQL) függően a támadó az adatbázis elemeit módosító vagy törlő SQL utasítások végrehajtása mellett képes lehet az adatbázis szerkezetére és tartalmára vonatkozó információkra is következtetni – nyilatkozta a Progress Comunity.
Charles Carmakal, a Mandiant technológiai igazgatója szerint a fenyegetési szereplők legalább május 27-e óta kihasználják a CVE-2023-34362 nulladik napi sebezhetőséget, négy nappal azelőtt, hogy a Progress nyilvánosságra hozta volna, és megkezdte a sebezhető rendszerek biztonsági javításainak tesztelését.
🚨 Massive zero-day exploitation for MOVEit Transfer (now formally CVE-2023-34362).
At this moment, at least 57 instances potentially compromised with the human2.aspx backdoor, 39 in the US.
After the respective analysis, the validation process I use is as follows:
1.- I verify… pic.twitter.com/f6Z2lcog8g— Germán Fernández (@1ZRR4H) June 2, 2023
A Progress ajánlásai
A Progress tanácsai a potenciális kihasználási kísérletek megakadályozása érdekében.
-
Tiltsa a MOVEit Transfer környezetébe irányuló összes HTTP és HTTPs forgalmat!
Pontosabban módosítsa a tűzfalszabályokat úgy, hogy megtagadja a HTTP és HTTPs forgalmat a MOVEit Transfer felé a 80-as és 443-as portokon a frissítés időpontjáig.
-
Felülvizsgálat, törlés és visszaállítás
Vizsgálja felül, majd törölje a jogosulatlan fájlokat és felhasználói fiókokat, majd állítsa vissza a hitelesítő adatokat.
-
Telepítse a legújabb frissítést!
| Érintett verzió | Javított verzió | Dokumentáció |
| MOVEit Transfer 2023.0.0 (15.0) | MOVEit Transfer 2023.0.1 | MOVEit 2023 Upgrade Documentation |
| MOVEit Transfer 2022.1.x (14.1) | MOVEit Transfer 2022.1.5 | MOVEit 2022 Upgrade Documentation |
| MOVEit Transfer 2022.0.x (14.0) | MOVEit Transfer 2022.0.4 | |
| MOVEit Transfer 2021.1.x (13.1) | MOVEit Transfer 2021.1.4 | MOVEit 2021 Upgrade Documentation |
| MOVEit Transfer 2021.0.x (13.0) | MOVEit Transfer 2021.0.6 | |
| MOVEit Transfer 2020.1.x (12.1) | Special Patch Available | See KB 000234559 |
| MOVEit Transfer 2020.0.x (12.0) or older | MUST upgrade to a supported version | See MOVEit Transfer Upgrade and Migration Guide |
| MOVEit Cloud | MOVEit Transfer 14.1.4.94 MOVEit Transfer 14.0.3.42 |
All MOVEit Cloud systems are fully patched at this time. Cloud Status Page |
-
Folyamatos felügyelet
Folyamatosan monitorozza a hálózatot, a végpontokat és a naplófájlokat.
A 2022. novemberi kötelező érvényű operatív irányelv (BOD 22-01) szerint az FCEB ügynökségeknek (Federal Civilian Executive Branch Agencies) javítaniuk kell ezt a biztonsági sebezhetőséget, amint az bekerült a CISA ismert sebezhetőségi katalógusába.
