ACTUALIZACIÓN: Descubriron vulnerabilidades de transferencia de MOVEit en progreso

30 de xuño de 2023, actualización: concienciación sobre ransomware para festivos e fins de semana 

Health-ISAC anima aos membros a manterse vixiantes debido aos riscos potencialmente elevados dos axentes de ameazas coñecidos por explotar a vulnerabilidade MOVEit. Health-ISAC recomenda que os equipos de ciberseguridade tamén desconfíen dos ataques a FTP e SFTP. 

PDF:

Ver PDF

Texto:

As organizacións deben asegurarse de que os equipos de defensa da rede e de resposta a incidentes estean de garda antes das vacacións federais e dos fins de semana longos. Baseándose en tácticas, técnicas e procedementos (TTP) de ameazas de longa data, producíronse ciberataques graves durante as vacacións e os fins de semana longos no pasado. Os ataques anteriores de alto perfil, como a violación do administrador do sistema virtual de Kaseya (VSA) por parte de REvil Ransomware, producíronse durante o fin de semana longo do festivo do cuarto de xullo de 2021. Ademais, REvil tivo éxito ao implementar ransomware contra unha entidade do sector da alimentación e a agricultura durante o fin de semana do Memorial Day de 2023, interrompendo os envíos das instalacións mundiais de produción de carne. 

Mentres os membros de REvil foron detidos e o grupo disolto, a tendencia de atacar a entidades durante as vacacións está moi consolidada. 

A Axencia de Seguridade Cibernética e de Infraestruturas (CISA) ten unha orientación adicional sobre a concienciación sobre o ransomware para festivos e fins de semana. aquí. 

15 de xuño de 2023, actualización:

O 15 de xuño de 2023, Progress lanzou un asesoramento en resposta a unha vulnerabilidade de inxección SQL (SQLi) recentemente publicada que afecta ás aplicacións MOVEit Transfer MFT. A compañía de software reduciu o tráfico HTTPs para MOVEit Cloud á luz da vulnerabilidade recentemente publicada e solicita a todos os clientes de MOVEit Transfer que eliminen inmediatamente o seu tráfico HTTP e HTTPS para protexer os seus ambientes ata que finalice o parche.

No momento de escribir este artigo, o número de CVE asociado a esta vulnerabilidade está pendente. Non obstante, as estratexias de mitigación foron divulgadas. Son as seguintes:

Desactiva todo o tráfico HTTP e HTTPs ao teu contorno MOVEit Transfer. Máis concretamente:

• – Modifique as regras do firewall para denegar o tráfico HTTP e HTTPs a MOVEit Transfer nos portos 80 e 443.
• – É importante ter en conta que ata que o tráfico HTTP e HTTPS estea habilitado de novo:
  • ~ Os usuarios non poderán iniciar sesión na IU web de MOVEit Transfer
  • ~ As tarefas de automatización de MOVEit que utilicen o host nativo de transferencia de MOVEit non funcionarán
  • ~ As API REST, Java e .NET non funcionarán
  • ~ O complemento MOVEit Transfer para Outlook non funcionará
  • ~ Os protocolos SFTP e FTP/s seguirán funcionando normalmente

Como solución alternativa, os administradores aínda poderán acceder a MOVEit Transfer mediante un escritorio remoto para acceder á máquina Windows e despois acceder a hxxps[:]//localhost/.

9 de xuño de 2023, actualización:

O 9 de xuño de 2023, Progress proporcionou un aviso actualizado sobre a vulnerabilidade de MOVEit Transfer e MOVEit Cloud, incluíndo vulnerabilidades recentemente descubertas distintas da vulnerabilidade informada anteriormente. As vulnerabilidades recentemente descubertas non tiñan CVE asignados no momento de escribir este artigo.

Todos os clientes de MOVEit Transfer deben aplicar o novo parche, lanzado o 9 de xuño de 2023. Consulta o artigo da base de coñecemento do progreso do 9 de xuño de 2023 para obter máis información.

Todos os clientes de MOVEit Cloud deben revisar o artigo da base de coñecemento de MOVEit Cloud do 9 de xuño de 2023 para obter máis información.

Mentres a investigación está en curso, Progress non observou indicios de que se explotaran as vulnerabilidades recentemente descubertas. A explotación está limitada á vulnerabilidade descuberta previamente, CVE-2023-24362, descrita na alerta orixinal.

O 1 de xuño de 2023, o NHS publicou a Boletín de vulnerabilidades críticas centrado no produto Progress MOVEit.

Progress descubriu unha vulnerabilidade en MOVEit Transfer que podería levar a un aumento de privilexios e un acceso potencial non autorizado ao ambiente.

BleepingComputer informar a vulnerabilidade está a ser explotada activamente polos actores da ameaza.

Como un parche non está dispoñible actualmente, Progress publicou mitigacións que os administradores de MOVEit poden usar para protexer as súas instalacións.

Están dispoñibles recomendacións de seguridade e orientacións de Progress para mitigar a vulnerabilidade aquí.

Se es cliente de MOVEit Transfer, é moi importante que tomes medidas inmediatas para axudar a protexer o teu ambiente de MOVEit Transfer, mentres o equipo de Progress elabora un parche.

A vulnerabilidade en MOVEit Transfer é especialmente preocupante xa que a vulnerabilidade podería usarse para a exfiltración de grandes conxuntos de datos antes da extorsión por parte de actores de ameaza que buscan monetizar o exploit.

Recomendacións: 

Para axudar a evitar o acceso non autorizado ao teu contorno MOVEit Transfer, Progress recomenda encarecidamente que apliques inmediatamente as seguintes medidas de mitigación.

Paso 1:

Desactiva todo o tráfico HTTP e HTTPs ao teu contorno MOVEit Transfer. Máis concretamente:

• – Modifique as regras do firewall para denegar o tráfico HTTP e HTTPs a MOVEit Transfer nos portos 80 e 443. Se precisa asistencia adicional, póñase en contacto inmediatamente co soporte técnico de Progress abrindo un caso a través de https://community.progress.com/s/supportlink-landing.
• – É importante ter en conta que ata que se habilite de novo o tráfico HTTP e HTTPS:
  • ~ Os usuarios non poderán iniciar sesión na IU web de MOVEit Transfer
  • ~ As tarefas de automatización de MOVEit que utilicen o host nativo de transferencia de MOVEit non funcionarán
  • ~ As API REST, Java e .NET non funcionarán
  • ~ O complemento MOVEit Transfer para Outlook non funcionará
  • ~ Teña en conta: os protocolos SFTP e FTP/s seguirán funcionando normalmente

Como solución alternativa, os administradores aínda poderán acceder a MOVEit Transfer mediante un escritorio remoto para acceder á máquina Windows e despois accedendo a https://localhost/. Para obter máis información sobre as conexións localhost, consulte Axuda de transferencia de MOVEit: https://docs.progress.com/bundle/moveit-transfer-web-admin-help-2023/page/Políticas de seguridade-Remoto-Acceso_2.html   

Paso 2:

Comprobe os seguintes indicadores potenciais de acceso non autorizado durante polo menos nos últimos 30 días:

• - Creación de ficheiros inesperados no cartafol c:MOVEit Transferwwwroot en todas as túas instancias de MOVEit Transfer (incluídas as copias de seguridade)
•  – Descargas de ficheiros inesperadas e/ou grandes

Se observa algún dos indicadores indicados anteriormente, póñase en contacto inmediatamente cos seus equipos de seguridade e TI e abra un ticket co soporte técnico de Progress en: https://community.progress.com/s/supportlink-landing. 

Paso 3:

Estase probando os parches para todas as versións compatibles de MOVEit Transfer e as ligazóns estarán dispoñibles a continuación mentres estean listas. As versións compatibles están listadas na seguinte ligazón: https://community.progress.com/s/products/moveit/ciclo de vida do produto.

[nota: ver gráfico en pdf arriba]

Referencias)

NHS, Axuda á seguridade na rede, Progreso, Bleeping Computer, cisa

Fontes

https://digital.nhs.uk/cyber-alertas/2023/cc-4326

https://www.helpnetsecurity.com/2023/06/01/moveit-vulnerabilidade de transferencia/

https://community.progress.com/s/article/MOVEit-Transfer-Crítica-Vulnerabilidade-31 de maio 2023

https://www.bleepingcomputer.com/news/security/new-moveit-transferencia-masa-día-cero-explotado-en-roubo-de-datos-ataques/

https://www.cisa.gov/news-eventos/ciberseguridade-avisos/aa21-243a

https://www.linkedin.com/pulso/fbi-urges-cyber-vixilancia-vacacións-fin de semana-dan-d-augelli/

• Recursos e noticias relacionados