TLP: HVID
Den 1. juni 2023 offentliggjorde NHS en kritisk sårbarhed bulletin fokuseret på Progress MOVEit File Transfer (MFT)-produktet.
Progress opdagede en sårbarhed i MOVEit Transfer, der kunne føre til eskalerede privilegier og potentiel uautoriseret adgang til miljøet.
BleepingComputer rapporteret sårbarheden bliver aktivt udnyttet af trusselsaktører.
Da en patch i øjeblikket ikke er tilgængelig, har Progress udgivet begrænsninger, som MOVEit-administratorer kan bruge til at sikre deres installationer.
Sikkerhedsanbefalinger og vejledning fra Progress for at afbøde sårbarheden er tilgængelige link..
Hvis du er MOVEit Transfer-kunde, er det ekstremt vigtigt, at du straks tager skridt til at hjælpe med at beskytte dit MOVEit Transfer-miljø, mens Progress-teamet producerer en patch.
Sårbarheden i MOVEit Transfer er især bekymrende, da sårbarheden kan bruges i udsivning af store datasæt forud for afpresning af trusselsaktører, der søger at tjene penge på udnyttelsen.
For at hjælpe med at forhindre uautoriseret adgang til dit MOVEit Transfer-miljø, anbefaler Progress på det kraftigste, at du straks anvender følgende afværgeforanstaltninger.
Trin 1:
Deaktiver al HTTP- og HTTP-trafik til dit MOVEit Transfer-miljø. Mere specifikt:
- Rediger firewallregler for at nægte HTTP- og HTTPs-trafik til MOVEit Transfer på porte 80 og 443. Hvis du har brug for yderligere
support, bedes du straks kontakte Progress Technical Support ved at åbne en sag via https://community. progress.com/s/supportlink- .landing
- Det er vigtigt at bemærke, at indtil HTTP- og HTTPS-trafik er aktiveret igen:
- Brugere vil ikke være i stand til at logge på MOVEit Transfer web-UI
- MOVEit Automation-opgaver, der bruger den oprindelige MOVEit Transfer-vært, fungerer ikke
- REST, Java og .NET API'er virker ikke
- MOVEit Transfer-tilføjelsesprogrammet til Outlook virker ikke
- Bemærk venligst: SFTP- og FTP/s-protokoller vil fortsætte med at fungere som normalt
Som en løsning vil administratorer stadig være i stand til at få adgang til MOVEit Transfer ved at bruge et fjernskrivebord til at få adgang til Windows-maskinen og derefter få adgang til https://localhost/. For mere information om lokale værtsforbindelser, se venligst MOVEit Transfer Hjælp: https://docs.progress.
Trin 2:
Tjek for følgende potentielle indikatorer for uautoriseret adgang over mindst de seneste 30 dage:
- Oprettelse af uventede filer i mappen c:MOVEit Transferwwwroot på alle dine MOVEit Transfer-instanser (inklusive sikkerhedskopier)
- Uventede og/eller store fildownloads
Hvis du bemærker nogen af de indikatorer, der er nævnt ovenfor, bedes du straks kontakte dine sikkerheds- og it-teams og åbne en billet hos Progress Technical Support på: https://community.
Trin 3:
Patches til alle understøttede MOVEit Transfer-versioner er ved at blive testet, og links vil blive gjort tilgængelige nedenfor, når de er klar. Understøttede versioner er angivet på følgende link: https://community.
Berørt version
Fast version
Dokumentation
MOVEit Transfer 2023.0.0
MOVEit 2023-opgraderingsdokumentation
MOVEit Transfer 2022.1.x
MOVEit 2022-opgraderingsdokumentation
MOVEit Transfer 2022.0.x
MOVEit Transfer 2021.1.x
MOVEit 2021-opgraderingsdokumentation
Reference (r)
NHS, Hjælp Net Security, Progress, Bleeping Computer
Kilder
https://digital.nhs.uk/cyber-
https://www.helpnetsecurity.
https://community.progress.
Advarsels-id 2bfc1d4b
- Relaterede ressourcer og nyheder