TLP: BRANCO
O 1 de xuño de 2023, o NHS publicou a vulnerabilidade crítica boletín centrado no produto Progress MOVEit File Transfer (MFT).
Progress descubriu unha vulnerabilidade en MOVEit Transfer que podería levar a un aumento de privilexios e un acceso potencial non autorizado ao ambiente.
BleepingComputer informar a vulnerabilidade está a ser explotada activamente polos actores da ameaza.
Como un parche non está dispoñible actualmente, Progress publicou mitigacións que os administradores de MOVEit poden usar para protexer as súas instalacións.
Están dispoñibles recomendacións de seguridade e orientacións de Progress para mitigar a vulnerabilidade aquí.
Se es cliente de MOVEit Transfer, é moi importante que tomes medidas inmediatas para axudar a protexer o teu ambiente de MOVEit Transfer, mentres o equipo de Progress elabora un parche.
A vulnerabilidade en MOVEit Transfer é especialmente preocupante xa que a vulnerabilidade podería usarse na exfiltración de grandes conxuntos de datos antes da extorsión por parte dos actores da ameaza que buscan monetizar o exploit.
Para axudar a evitar o acceso non autorizado ao teu contorno MOVEit Transfer, Progress recomenda encarecidamente que apliques inmediatamente as seguintes medidas de mitigación.
Paso 1:
Desactiva todo o tráfico HTTP e HTTPs ao teu contorno MOVEit Transfer. Máis concretamente:
- Modifica as regras do firewall para denegar o tráfico HTTP e HTTPs a MOVEit Transfer nos portos 80 e 443. Se precisas adicionais
soporte técnico, póñase en contacto inmediatamente co soporte técnico de Progress abrindo un caso a través de https://community. progress.com/s/supportlink- .aterraxe
- É importante ter en conta que ata que o tráfico HTTP e HTTPS estea habilitado de novo:
- Os usuarios non poderán iniciar sesión na IU web de MOVEit Transfer
- Non funcionarán as tarefas de MOVEit Automation que utilicen o host nativo de MOVEit Transfer
- As API REST, Java e .NET non funcionarán
- O complemento MOVEit Transfer para Outlook non funcionará
- Teña en conta: os protocolos SFTP e FTP/s seguirán funcionando normalmente
Como solución alternativa, os administradores aínda poderán acceder a MOVEit Transfer mediante un escritorio remoto para acceder á máquina Windows e despois accedendo a https://localhost/. Para obter máis información sobre conexións localhost, consulte Axuda de transferencia de MOVEit: https://docs.progress.
Paso 2:
Comprobe os seguintes indicadores potenciais de acceso non autorizado durante polo menos os últimos 30 días:
- Creación de ficheiros inesperados no cartafol c:MOVEit Transferwwwroot en todas as túas instancias de MOVEit Transfer (incluídas as copias de seguridade)
- Descargas de ficheiros inesperadas e/ou grandes
Se observa algún dos indicadores indicados anteriormente, póñase en contacto inmediatamente cos seus equipos de seguridade e TI e abra un ticket co soporte técnico de Progress en: https://community.
Paso 3:
Estase probando os parches para todas as versións compatibles de MOVEit Transfer e as ligazóns estarán dispoñibles a continuación mentres estean listas. As versións compatibles están listadas na seguinte ligazón: https://community.
Versión afectada
Versión fixa
documentación
MOVEit Transfer 2023.0.0
Documentación de actualización de MOVEit 2023
MOVEit Transfer 2022.1.x
Documentación de actualización de MOVEit 2022
MOVEit Transfer 2022.0.x
MOVEit Transfer 2021.1.x
Documentación de actualización de MOVEit 2021
Referencias)
NHS, Axuda á seguridade na rede, Progreso, Bleeping Computer
Fontes
https://digital.nhs.uk/cyber-
https://www.helpnetsecurity.
https://community.progress.
ID de alerta 2bfc1d4b
- Recursos e noticias relacionados